Gin框架中隐藏TLS握手错误日志的解决方案

在Gin框架的实际生产环境中，开发者经常会遇到大量"TLS handshake error"日志的问题。这些错误通常来自于网络爬虫或恶意扫描工具对HTTPS端口的探测，虽然不会影响服务正常运行，但会污染日志系统，增加日志分析难度。

问题背景

当使用Gin框架的HTTPS服务时，标准库会自动记录所有TLS握手失败的连接尝试。这些错误信息通常以"http: TLS handshake error"开头，后面跟着客户端IP和"EOF"错误。虽然这些日志在调试阶段可能有价值，但在生产环境中，它们往往只是噪音。

解决方案原理

Go语言的net/http包允许通过自定义ErrorLog来过滤日志输出。我们可以创建一个自定义的日志记录器，在记录日志前进行检查，过滤掉特定模式的错误信息。

实现方法

以下是完整的实现方案：

package main

import (
	"bufio"
	"fmt"
	"io"
	"log"
	"net/http"
	"os"
	"strings"
	"time"

	"github.com/gin-gonic/gin"
)

func main() {
	// 初始化Gin路由
	router := gin.Default()

	// 设置路由
	router.GET("/", func(c *gin.Context) {
		c.String(http.StatusOK, "Hello, World!")
	})

	// 配置HTTP服务器
	server := &http.Server{
		Addr:           ":443",
		Handler:        router,
		ReadTimeout:    30 * time.Second,
		WriteTimeout:   30 * time.Second,
		MaxHeaderBytes: 1 << 20,
		ErrorLog:       createFilteredLogger(),
	}

	// 启动HTTPS服务
	log.Fatal(server.ListenAndServeTLS("server.crt", "server.key"))
}

// 创建过滤后的日志记录器
func createFilteredLogger() *log.Logger {
	reader, writer := io.Pipe()
	logger := log.New(writer, "http: ", log.LstdFlags)

	go func() {
		scanner := bufio.NewScanner(reader)
		for scanner.Scan() {
			line := scanner.Text()
			// 过滤掉以": EOF"结尾的TLS握手错误
			if !strings.HasSuffix(line, ": EOF") {
				fmt.Fprintln(os.Stdout, line)
			}
		}
		if err := scanner.Err(); err != nil {
			fmt.Fprintln(os.Stderr, "日志扫描错误:", err)
		}
	}()

	return logger
}

方案优化

上述基础方案可以进一步优化：

1. 更精确的过滤：不仅过滤EOF错误，还可以过滤特定IP范围的请求
2. 日志分级：将过滤掉的日志单独记录到不同文件，便于后期分析
3. 性能优化：使用缓冲通道处理日志，减少goroutine切换开销

注意事项

1. 在生产环境中完全屏蔽TLS错误日志可能会掩盖真正的安全问题，建议保留部分日志分析能力
2. 可以考虑结合IP黑名单机制，从根本上拒绝恶意扫描请求
3. 定期检查证书有效期，避免因证书过期导致服务不可用

通过这种自定义日志记录器的方式，开发者可以灵活控制Gin框架的日志输出，保持生产环境日志的整洁性，同时不影响关键错误信息的记录。