Go中可用http.Handler包装器实现HTTP请求日志中间件,需用loggingResponseWriter捕获状态码与字节数,结合slog输出结构化日志,并解析X-Real-IP获取真实客户端IP,同时通过异步写入和采样避免阻塞与日志爆炸。
用 net/http 中间件记录 HTTP 请求日志
Go 标准库没有内置请求日志中间件,但可以用 http.Handler 包装器轻松实现。关键不是打日志本身,而是确保日志包含必要字段(方法、路径、状态码、耗时),且不干扰原有响应流。
- 必须用
http.ResponseWriter的包装类型捕获真实状态码和字节数,不能只靠defer记录——因为 handler 可能 panic 或提前返回 - 避免在日志中打印完整请求体或响应体,除非调试需要;否则易泄露敏感数据或拖慢性能
- 时间戳建议用
time.Now()在中间件入口记录,而不是在 defer 里——防止耗时计算被延迟执行影响精度
type loggingResponseWriter struct {
http.ResponseWriter
statusCode int
written int
}
func (lrw *loggingResponseWriter) WriteHeader(code int) {
lrw.statusCode = code
lrw.ResponseWriter.WriteHeader(code)
}
func (lrw *loggingResponseWriter) Write(b []byte) (int, error) {
if lrw.statusCode == 0 {
lrw.statusCode = http.StatusOK
}
n, err := lrw.ResponseWriter.Write(b)
lrw.written += n
return n, err
}
func loggingMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
start := time.Now()
lrw := &loggingResponseWriter{
ResponseWriter: w,
statusCode: http.StatusOK,
}
next.ServeHTTP(lrw, r)
duration := time.Since(start)
log.Printf("[%s] %s %s %d %d %v",
r.Method,
r.URL.Path,
r.Proto,
lrw.statusCode,
lrw.written,
duration,
)
})
}
用 log/slog 替代 log.Printf 实现结构化日志
log/slog(Go 1.21+)支持键值对输出,比字符串拼接更利于后续采集与过滤。直接替换 log.Printf 即可升级,但要注意字段命名统一、避免空值导致 JSON 解析失败。
- 推荐用
slog.String、slog.Int、slog.Duration显式声明类型,不要全用slog.Any - 路径中带参数(如
/user/123)时,应记录原始r.URL.Path,而非路由匹配后的变量名,否则日志无法对齐实际请求 - 若使用第三方日志库(如
zerolog或zap),注意它们通常不兼容slog.Handler接口,需单独适配
func loggingMiddleware(next http.Handler) http.Handler {
return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
start := time.Now()
lrw := &loggingResponseWriter{ResponseWriter: w}
next.ServeHTTP(lrw, r)
duration := time.Since(start)
slog.Info("http request",
slog.String("method", r.Method),
slog.String("path", r.URL.Path),
slog.Int("status", lrw.statusCode),
slog.Int("bytes", lrw.written),
slog.Duration("duration", duration),
)
})
}
记录客户端真实 IP 而非
代理地址
代理地址Web 应用常部署在 Nginx 或 Cloudflare 后,直接读 r.RemoteAddr 得到的是反向代理的 IP。需检查 X-Forwarded-For 或 X-Real-IP 头,但不能无条件信任——这些头可被伪造。
- 只在已知可信代理链下启用解析,例如配置 Nginx 时用
proxy_set_header X-Real-IP $remote_addr;并限制来源 IP 段 - 优先用
X-Real-IP(单值),其次才 fallback 到X-Forwarded-For的最左非私有地址 - 私有地址范围包括
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、127.0.0.1/32,需手动过滤
func getClientIP(r *http.Request) string {
ip := r.Header.Get("X-Real-IP")
if ip != "" {
return ip
}
ips := strings.Split(r.Header.Get("X-Forwarded-For"), ",")
for _, ip := range ips {
ip = strings.TrimSpace(ip)
if !strings.Contains(ip, ":") && net.ParseIP(ip).IsPrivate() == false {
return ip
}
}
return r.RemoteAddr
}
避免日志阻塞请求处理
日志写入磁盘或网络(如发送到 Loki、ELK)可能变慢,若同步执行,会拖累整个 HTTP 响应。标准 slog 默认同步,需显式改用异步 Handler。
-
slog.New(slog.NewTextHandler(os.Stdout, &slog.HandlerOptions{AddSource: true}))是同步的;换成slog.New(slog.NewTextHandler(os.Stdout, nil).WithGroup("async"))并不能解决阻塞问题 - 真正异步需用
slog.New(slog.NewTextHandler(&writer{}, nil))自定义 writer + goroutine,或使用支持异步的第三方库(如uber-go/zap的zapcore.NewCore配合zapcore.Lock) - 更稳妥的做法是:核心请求日志走本地文件(异步轮转),审计类日志(如登录、支付)再单独异步上报
生产环境最容易被忽略的是日志采样——高频健康检查(如 /healthz)不该每条都记,否则日志量爆炸且掩盖真实业务请求。加个简单计数器或按百分比采样,能立刻缓解磁盘和 I/O 压力。
