Thanos Query Frontend 慢查询日志中实现基于HTTP头部的用户标识记录

背景与需求场景

在分布式监控系统Thanos的架构中，Query Frontend组件作为查询入口承担着重要职责。其慢查询日志功能对于识别异常查询行为至关重要，其中remote_user字段用于记录执行查询的用户身份。当前实现是通过解析Authorization头部中的基础认证信息来获取用户名，但实际生产环境中存在以下典型场景：

1. 企业级部署通常采用前置代理（如Nginx、Envoy）统一处理认证
2. 认证通过后代理会将用户信息通过自定义HTTP头部（如X-Forwarded-User）传递
3. 现有机制无法适配这种架构模式，导致慢查询日志缺失用户标识信息

技术方案设计

核心实现思路

通过在Query Frontend组件中新增配置参数slow-query-log-user-header，使系统能够：

1. 动态指定用于提取用户名的HTTP头部字段
2. 当该配置存在时优先从指定头部获取用户标识
3. 保持对传统Basic Auth的向后兼容

架构影响分析

该方案具有以下技术特性：

• 零侵入性：不影响现有认证流程和日志记录逻辑
• 灵活配置：支持任意标准或自定义HTTP头部字段
• 低耦合设计：与Grafana等前端工具的send_user_header配置天然兼容

实现价值

1. 运维可观测性增强：准确关联慢查询与具体用户，便于问题追踪
2. 安全审计完善：满足合规性要求中的操作溯源需求
3. 多环境适配：支持各类认证代理的集成场景

技术实现建议

对于需要自行扩展的开发人员，可参考以下实现要点：

1. 在pkg/queryfrontend/roundtrip.go中扩展日志记录逻辑
2. 新增--query-frontend.slow-query-log-user-header命令行参数
3. 实现头部字段的优先级处理：

   func getUserFromRequest(r *http.Request) string {
       if customHeader != "" {
           return r.Header.Get(customHeader)
       }
       // 原有Basic Auth解析逻辑
   }
   

生产环境实践建议

1. 安全配置：确保代理层对用户头部的正确设置和过滤
2. 日志脱敏：敏感用户信息建议在前置代理层进行哈希处理
3. 性能考量：高频访问场景下建议对用户标识进行缓存

该增强功能已合并至主分支，用户可通过升级版本获得此能力。对于采用代理认证架构的企业用户，这提供了更完善的观测能力，同时保持了系统的灵活性和安全性。