Spring Boot Admin 日志级别配置问题排查指南

问题背景

在使用 Spring Boot Admin (SBA) 管理 Spring Boot 应用时，开发人员经常需要通过 SBA 界面动态调整应用实例的日志级别。然而在实际操作中，可能会遇到配置请求被错误路由或拒绝的情况。

典型问题表现

当 SBA 服务器运行在 8081 端口，客户端应用运行在 8080 端口时，尝试通过 SBA 界面修改日志级别会出现以下异常：

1. 请求被错误地发送到 SBA 服务器地址（如 http://localhost:8081/instances/{id}/actuator/loggers/ROOT）
2. 返回 403 Forbidden 状态码
3. 直接访问客户端应用的 actuator 端点（http://localhost:8080/actuator/loggers/ROOT）却能正常工作

根本原因分析

这个问题通常由两个关键因素导致：

1. 请求转发机制：SBA 作为管理服务器，本应将请求转发到注册的客户端实例地址，但由于安全配置不当，请求被拦截或路由错误。

2. 安全配置问题：

   • CORS（跨域资源共享）策略限制
   • CSRF（跨站请求伪造）保护机制
   • 实例认证凭据缺失

解决方案

1. 正确配置实例认证

在 SBA 服务器配置中添加客户端认证信息：

spring.boot.admin.instance-auth.default-user-name=admin
spring.boot.admin.instance-auth.default-user-password=admin

2. 完善安全配置

创建一个自定义的安全配置类，特别注意以下几点：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
    
    // 确保忽略对实例端点的CSRF保护
    .csrf(csrf -> csrf.ignoringRequestMatchers(
        new AntPathRequestMatcher(adminServer.getContextPath() + "/instances/**"),
        new AntPathRequestMatcher(adminServer.getContextPath() + "/actuator/**")
    ))
    
    // 配置CORS策略
    .cors(cors -> cors.configurationSource(request -> {
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowedOrigins(List.of("http://localhost:8081")); // SBA服务器地址
        config.setAllowedMethods(List.of("*"));
        config.setAllowedHeaders(List.of("*"));
        config.setAllowCredentials(true);
        return config;
    }))
}

3. 客户端配置要点

确保客户端正确注册并暴露 actuator 端点：

spring.boot.admin.client.url=http://localhost:8081
spring.boot.admin.client.instance.service-url=http://localhost:8080
management.endpoints.web.exposure.include=*
management.endpoints.web.cors.allowed-origins=*

最佳实践建议

1. 双重检查路径匹配：确保 Ant 风格的路径匹配模式正确使用 /** 而不是 /，以匹配所有子路径。

2. 分步测试：

   • 首先测试直接访问客户端 actuator 端点
   • 然后测试通过 SBA 转发访问
   • 最后测试通过 SBA 界面操作

3. 日志分析：启用 DEBUG 级别日志，观察请求路由和过滤过程。

4. 环境隔离：在开发环境可以暂时放宽安全限制，但生产环境必须保持适当的安全控制。

通过以上配置和排查步骤，可以解决大多数 SBA 日志级别配置相关的问题，确保管理员能够通过界面方便地管理应用日志级别。