ABP理论学习之审计日志
本篇目录
介绍
维基百科说: “审计跟踪(也叫审计日志)是与安全相关的按照时间顺序的记录,记录集或者记录源,它们提供了活动序列的文档证据,这些活动序列可以在任何时间影响一个特定的操作,步骤或其他”。
ABP提供了一个基础设施,它可以自动记录所有和应用程序交互的日志。它可以记录具有调用者信息和参数的方法调用。
一般地,要保存的字段是:相关的租户Id,调用者的用户Id,调用的 服务名称(调用方法的类名),调用的方法名 , 执行方法名(序列化成Json) , 执行时间 , 执行时长(单位毫秒),客户端IP地址 ,客户端计算机名称和异常(抛出异常的情况下)。
有了这些信息,我们不仅知道谁进行了该操作,而且可以测量应用的性能以及观察抛出的异常。甚至,你可以获得应用使用情况的统计数据(statistics)。
审计系统使用IAbpSession来获得当前的UserId和TenantId。
关于 IAuditingStore
审计系统使用了IAuditingStore来存储信息。虽然你可以用你自己的方式来实现该接口,但是它已经完全实现在module-zero项目中。如果你没有实现该接口,那么默认会使用SimpleLogAuditingStore,并且它会将审计信息记录到日志中(log)。
配置
要配置审计,可以在模块的PreInitialize方法中使用Configuration.Auditing属性。审计是默认开启的。可以像下面那样关闭它:
public class MyModule : AbpModule
{
public override void PreInitialize()
{
Configuration.Auditing.IsEnabled = false;
}
//...
}
这儿是审计配置属性的列表:
- IsEnabled:用于完全开启或关闭审计系统。默认为true。
- IsEnabledForAnonymousUsers:如果此值为true,那么没有登录到系统的用户的审计日志也会保存。默认为false。
- MvcControllers:用于为ASP.NET MVC控制器配置审计。
- IsEnabled:用于为MVC控制器开启或关闭审计。默认为true
- IsEnabledForChildActions:用于为子MVC action开启或关闭审计。默认为false。
- Selectors:用于选择其他的类保存审计日志。
可以看到,对于MVC控制器的审计是单独配置的,因为它用到了不同的技术。
Selectors是选择其他的类型来保存审计日志的谓词列表。一个选择器有一个唯一的名字和一个谓词。这个列表中唯一的默认选择器用于选择应用服务类。它是如下定义的:
Configuration.Auditing.Selectors.Add(
new NamedTypeSelector(
"Abp.ApplicationServices",
type => typeof (IApplicationService).IsAssignableFrom(type)
)
);
你可以将你的选择器添加到模块的PreInitialize方法中。而且,如果你不喜欢为应用服务保存审计日志,那么你可以通过名称移除选择器。那就是为什么要有一个唯一名称的原因(使用简单的linq找出该选择器,然后可以移除它)。
通过特性开启/关闭
虽然可以通过配置选择审计类,但是也可以为一个单独的类或方法使用Audited和 DisableAuditing特性。举个例子:
[Audited]
public class MyClass
{
public void MyMethod1(int a)
{
//...
}
[DisableAuditing]
public void MyMethod2(string b)
{
//...
}
public void MyMethod3(int a, int b)
{
//...
}
}
除了MyMethod2方法之外,MyClass的所有方法都参与审计了,因为MyMethod2显式关闭了。审计特性可以用于想要参与审计的方法保存审计日志。
注意
- 为了保存审计日志,方法必须是public的。私有的和受保护的方法会被忽略。
- 如果方法是通过类的引用调用的,那么该方法必须是virtual的。因为ABP使用了动态代理和拦截,所以需要满足该条件。如果使用了接口(比如注入IPersonService接口使用PersonService类)注入,就不必满足“virtual”的条件了。对于MVC控制器的action不一定要满足,它们可以不是“virtual”的。
我项目中的例子
下面的代码是点击登录按钮提交表单数据的action方法:
[HttpPost]
[UnitOfWork]
[DisableAuditing]
public virtual async Task<JsonResult> Login(LoginViewModel loginModel, string returnUrl = "")
{
CheckModelState();
_unitOfWorkManager.Current.DisableFilter(AbpDataFilters.MayHaveTenant);
var loginResult = await GetLoginResultAsync(
loginModel.UsernameOrEmailAddress,
loginModel.Password,
loginModel.TenancyName
);
await SignInAsync(loginResult.User, loginResult.Identity, loginModel.RememberMe);
if (string.IsNullOrWhiteSpace(returnUrl))
{
returnUrl = Request.ApplicationPath;
}
return Json(new MvcAjaxResponse { TargetUrl = returnUrl });
}
下面的截图是数据库中的审计日志信息,大家可以看到今天还没有数据,最晚的数据是2015-12-18的数据:

登录系统之后,依然没有记录审计日志,下面统一截图。
下面我将上面的代码的特性[DisableAuditing]去掉,再次登录系统,可以看到有了审计记录,截图如下:

分别按序号解释一下:
- 首次到达登录页面;
- 登录成功,到达系统首页Index;
- 去掉[DisableAuditing]特性后,到达登陆页面;
- 将数据post提交到Login方法,记录了审计日志,包含各种登录参数;
- 登录成功,返回系统首页Index。
从我的例子可以很明显地看出,默认情况下,ABP会自动记录所有的控制器,除非你给它加上[DisableAuditing]特性,否则,始终会记录审计日志。
ABP理论学习之审计日志的更多相关文章
- ABP文档 - 审计日志
文档目录 本节内容: 简介 关于 IAuditingStore 配置 通过特性启用/禁用 注意 简介 维基百科:“一个审计追踪(也叫审计日志)是一个安全相关的时序记录.记录组.和/或记录源和目标,作为 ...
- ABP大型项目实战(2) - 调试与排错 - 日志 - 查看审计日志
这是<ABP大型项目实战>系列文章的一篇. 项目发布到生产环境后难免会有错误. 那么如何进行调试和排错呢? 我看到俱乐部里有人是直接登陆生产服务器把数据库下载到开发机器进行调试排错 ...
- ABP(现代ASP.NET样板开发框架)系列之19、ABP应用层——审计日志
点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之19.ABP应用层——审计日志 ABP是“ASP.NET Boilerplate Project (ASP.NET ...
- ABP应用层——审计日志
ABP应用层——审计日志 点这里进入ABP系列文章总目录 基于DDD的现代ASP.NET开发框架--ABP系列之19.ABP应用层——审计日志 ABP是“ASP.NET Boilerplate Pro ...
- ABP官方文档翻译 4.6 审计日志
审计日志 介绍 关于IAuditingStore 配置 通过特性启用/禁用 注意事项 介绍 维基百科:“审计追踪(也称为审计日志)是与安全相关的按时间先后的记录.记录集合.记录的目的地和源,提供一系列 ...
- Abp + MongoDb 改造默认的审计日志存储位置
一.背景 在实际项目的开发当中,使用 Abp Zero 自带的审计日志功能写入效率比较低.其次审计日志数据量中后期十分庞大,不适合与业务数据存放在一起.所以我们可以重新实现 Abp 的 IAuditi ...
- ABP开发框架前后端开发系列---(7)系统审计日志和登录日志的管理
我们了解ABP框架内部自动记录审计日志和登录日志的,但是这些信息只是在相关的内部接口里面进行记录,并没有一个管理界面供我们了解,但是其系统数据库记录了这些数据信息,我们可以为它们设计一个查看和导出这些 ...
- ABP vNext 审计日志获取真实客户端IP
背景 在使用ABP vNext时,当需要记录审计日志时,我们按照https://docs.abp.io/zh-Hans/abp/latest/Audit-Logging配置即可开箱即用,然而在实际生产 ...
- ABP理论学习之开篇介绍
返回总目录 为了和2016年春节赛跑,完成该系列博客,我牺牲了今天中午的时间来完成该系列的第一篇----开篇介绍.开篇介绍嘛,读过大学教材的同学都知道,这玩意总是那么无聊,跟考试没关系,干脆直接跳过, ...
随机推荐
- [转]ubuntu 下无法启动chrome
这很不爽,google了半天也不知道答案(搜索到要重装chrome,可是我怎么都卸载不干净.....),最终解决方法如下: -------------------------------------- ...
- Java面试常见知识点总结(二)
11.构造方法(构造器): 构造方法是一种特殊的方法,具有以下特点. (1) 构造方法的方法名必须与类名相同. (2) 构造方法没有返回类型,也不能定义为void,在方法名前面不声明方法类 ...
- spring boot使用
首先spring-boot是个服务框架,更加准确来讲是个微服务框架,实际上来说”微“并不“微”,spring-boot包含很多可嵌入的组件,通过这些组件可以来完成我们的服务, 以往我们使用Spring ...
- retrofit2的get和post
get: 例: @GET("room/question_focus") Call<BaseResponseEntity> followQuestion(@Query(& ...
- react native 刷新机制----通知
在项目中,不知道大家有没有遇到这样的一个问题,比如说有两个页面A,B.A页面中有某个按钮点击后可以跳转到B页面,现在有一个需求就是,我在B页面中做了某些操作,然后点击回退按钮,回到A页面,A页面中的数 ...
- JS - 柯里化
一:what's this? 柯里化: 是把接受多个参数的函数变换成接受一个单一参数(最初函数的第一个参数)的函数,并且返回接受余下的参数而且返回结果的新函数的技术.其实,柯里化就是用闭包原理实现函数 ...
- java 随机生成身份证代码
import java.util.Calendar; import java.util.Collection; import java.util.HashMap; import java.util.I ...
- Ue4的UE_LOG
说明:本文为Wiki上的RAMA大神文章的大致翻译 游戏模式: 在游戏模式下,你需要在游戏的快捷方式后面加 -Log,才会在游戏中显示. 编辑器模式(Play In Editor): 你可以在Outp ...
- 主成分分析 (PCA) 与其高维度下python实现(简单人脸识别)
Introduction 主成分分析(Principal Components Analysis)是一种对特征进行降维的方法.由于观测指标间存在相关性,将导致信息的重叠与低效,我们倾向于用少量的.尽可 ...
- DOM性能瓶颈与Javascript性能优化
这两天比较闲,写了两篇关于JS性能缺陷与解决方案的文章(<JS特性性能缺陷及JIT的解决方案>,<Javascript垃圾回收浅析>),主要描述了untyped,GC带来的问题 ...