如何做好对Spring Boot项目全面监控之Actuator-spring boot 监控

定义

Actuator 为springboot项目提供了很全面的监控和审查，通过启用和公开endpoints，可以很方便的查看项目中的一些指标。

添加依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-actuator</artifactId>
    </dependency>
</dependencies>

关于Endpoints

Actuator提供了很多内置的Endpoints，每一个EP都可以启用/禁用和公开。

当然，EP只有启动并公开之后，才会真正生效。

如何启用/禁用Endpoints？

除了 shutdown 之外，所有的EP都是默认启用的，如果要启用/禁用EP，可使用以下配置：

management.endpoint.<id>.enabled=true/false。

比如启用 shutdown ：

management.endpoint.shutdown.enabled=true

为了安全，在生产环境不建议启用所有的EP，而是按需启用，所以要首先禁用默认行为，然后启用需要的EP，如下：

management.endpoints.enabled-by-default=false
management.endpoint.info.enabled=true

这样只有启用的EP才会加载到上下文。

这样只是启用和禁用了EP，但是否暴露出去，还需要单独的配置。

如何暴露/隐藏 Endpoints?

EP会暴露应用的很多指标，所以非常重要和敏感，在生产环境一定要做好选择和安全防护。

暴露和隐藏使用以下配置：

# 针对 JMX 规范协议
management.endpoints.jmx.exposure.exclude
management.endpoints.jmx.exposure.include    *
  # 针对http协议
management.endpoints.web.exposure.exclude
management.endpoints.web.exposure.include   health

使用 include 暴露Ep，使用 exclude 隐藏 Ep，其中 exclude 优先级高于 include。

星号 * 表示全部的，另外星号在properties和yaml中有一点不同：

在YAML中星号（*）具有特殊的含义，所以需要用双引号括起来，如 "*"

比如要隐藏所有的并仅仅启用health和info：

management.endpoints.web.exposure.include=health,info

比如要暴露所有并禁用env和beans：

management.endpoints.web.exposure.include=*
management.endpoints.web.exposure.exclude=env,beans

前文有述，EP包括很多敏感信息，一定要注意安全，那应该如何确保安全？

如何实现Http Endpoints 安全加固

如果项目中使用了 spring security 或 shiro 等安全框架，可以把EP放在安全框架之后，和其他业务API一样保护起来。

或者，也可以使用RequestMatcher对象来配合使用，以控制某些用户具备访问权限，比如：

import org.springframework.boot.actuate.autoconfigure.security.servlet.EndpointRequest;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration(proxyBeanMethods = false)
public class MySecurityConfiguration {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.requestMatcher(EndpointRequest.toAnyEndpoint())
                .authorizeRequests((requests) -> requests.anyRequest().hasRole("ENDPOINT_ADMIN"));
        http.httpBasic();
        return http.build();
    }
}

这样只有具备 ENDPOINT_ADMIN 角色的用户才可以访问EP。

如何通过页面访问各类指标

通过项目的 ip:port /actuator ，比如 localhost:8080/actuator：

可以通过配置修改路径：

# 修改 /actutor 为 /manage
management.endpoints.web.base-path=/manage

# 修改特定指标 /health 为 /myhealth
management.endpoints.web.path-mapping.health=myhealth

# 修改访问端口（默认和server.port相同）
management.server.port=8036