Rails nginxのようなプロキシの背後にあるときにログを記録する方法

問題

私はRails 3.2.15とラック1.4.5を2台のサーバーでセットアップしています。最初のサーバーは静的アセットを提供するnginxプロキシです。2番目のサーバーはRailsアプリ。

Rails production.logでは、クライアントのIPアドレス（10.0.10.62）ではなく、常にnginxのIPアドレス（10.0.10.150）が表示されます。

Started GET "/" for 10.0.10.150 at 2013-11-21 13:51:05 +0000

実際のクライアントIPをログに記録したい。

私たちのセットアップ

HTTPヘッダーX-Forwarded-ForおよびX-Real-IPはnginxで正しく設定されており、10.0.10.62をconfig.action_dispatch.trusted_proxies = /^127\.0\.0\.1$/に設定することにより、config/environments/production.rbを信頼できるプロキシアドレスではないと定義しました。別の answer へ。アプリケーションコントローラーにログを記録しているので、動作していることを確認できます。

app/controllers/application_controller.rb：

class ApplicationController < ActionController::Base
    before_filter :log_ips

    def log_ips
        logger.info("request.ip = #{request.ip} and request.remote_ip = #{request.remote_ip}")
    end
end

production.log：

request.ip = 10.0.10.150 and request.remote_ip = 10.0.10.62

調査

調査したところ、 Rails::Rack::Logger がIPアドレスのログ記録を担当していることがわかりました。

def started_request_message(request)
  'Started %s "%s" for %s at %s' % [
    request.request_method,
    request.filtered_path,
    request.ip,
    Time.now.to_default_s ]
end

requestは ActionDispatch::Request のインスタンスです。これは Rack::Request を継承し、IPアドレスの計算方法を定義します。

def trusted_proxy?(ip)
  ip =~ /^127\.0\.0\.1$|^(10|172\.(1[6-9]|2[0-9]|30|31)|192\.168)\.|^::1$|^fd[0-9a-f]{2}:.+|^localhost$/i
end

def ip
  remote_addrs = @env['REMOTE_ADDR'] ? @env['REMOTE_ADDR'].split(/[,\s]+/) : []
  remote_addrs.reject! { |addr| trusted_proxy?(addr) }

  return remote_addrs.first if remote_addrs.any?

  forwarded_ips = @env['HTTP_X_FORWARDED_FOR'] ? @env['HTTP_X_FORWARDED_FOR'].strip.split(/[,\s]+/) : []

  if client_ip = @env['HTTP_CLIENT_IP']
    # If forwarded_ips doesn't include the client_ip, it might be an
    # ip spoofing attempt, so we ignore HTTP_CLIENT_IP
    return client_ip if forwarded_ips.include?(client_ip)
  end

  return forwarded_ips.reject { |ip| trusted_proxy?(ip) }.last || @env["REMOTE_ADDR"]
end

転送されたIPアドレスはtrusted_proxy?でフィルタリングされます。私たちのnginxサーバーはプライベートIPアドレスではなくパブリックIPアドレスを使用しているため、Rack::Request#ipはプロキシではなく、IPスプーフィングを試みる実際のクライアントIPであると考えています。そのため、ログにnginx IPアドレスが表示されます。

ログの抜粋では、実稼働環境を再現するために仮想マシンを使用しているため、クライアントとサーバーのIPアドレスは10.0.10.xです。

現在のソリューション

この動作を回避するために、app/middleware/remote_ip_logger.rbにある小さなRackミドルウェアを作成しました。

class RemoteIpLogger
  def initialize(app)
    @app = app
  end

  def call(env)
    remote_ip = env["action_dispatch.remote_ip"]
    Rails.logger.info "Remote IP: #{remote_ip}" if remote_ip
    @app.call(env)
  end
end

そして、ActionDispatch::RemoteIpミドルウェアの直後に挿入します

config.middleware.insert_after ActionDispatch::RemoteIp, "RemoteIpLogger"

このようにして、ログで実際のクライアントIPを確認できます。

Started GET "/" for 10.0.10.150 at 2013-11-21 13:59:06 +0000
Remote IP: 10.0.10.62

この解決策には少し不快に感じます。 nginx + Unicornは、Railsアプリケーションの一般的な設定です。クライアントIPを自分でログに記録する必要がある場合は、何かを見落としたことを意味します。これは、NginxサーバーがパブリックIPアドレスを使用しているためです。 Railsサーバーと通信していますか？trusted_proxy?のRack::Requestメソッドをカスタマイズする方法はありますか？

[〜＃〜] edited [〜＃〜]：nginx設定とHTTPリクエストキャプチャを追加

/etc/nginx/sites-enabled/site.example.com.conf：

server {
    server_name    site.example.com;
    listen         80;


    location ^~ /assets/ {
       root /home/deployer/site/shared;
       expires 30d;
    }

    location / {
      root /home/deployer/site/current/public;
      try_files $uri @proxy;
    }

    location @proxy {
      access_log  /var/log/nginx/site.access.log combined_proxy;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
      proxy_set_header Host $http_Host;
      proxy_redirect off;
      proxy_read_timeout 300;

      proxy_pass http://Rails.example.com:8080;
    }
}

Nginxサーバーは10.0.10.150です。 Railsサーバーは10.0.10.190です。私のマシンは10.0.10.62です。私のマシンからcurl http://10.0.10.150/を実行すると、tcpdump port 8080 -i eth0 -Aq -s 0がオンになりますRailsサーバーはこれらのリクエストHTTPヘッダーを表示します：

GET / HTTP/1.0
X-Forwarded-For: 10.0.10.62
X-Forwarded-Proto: http
Host: 10.0.10.150
Connection: close
User-Agent: curl/7.29.0
Accept: */*

そしてRails log /home/deployer/site/current/log/production.log（Remote IPandrequest.iplinesカスタムコードによって追加されます）：

Started GET "/" for 10.0.10.150 at 2013-11-22 08:01:17 +0000
Remote IP: 10.0.10.62
Processing by Devise::RegistrationsController#new as */*
request.ip = 10.0.10.150 and request.remote_ip = 10.0.10.62
  Rendered devise/shared/_links.erb (0.1ms)
  Rendered devise/registrations/new.html.erb within layouts/application (2.3ms)
  Rendered layouts/_landing.html.erb (1.5ms)
Completed 200 OK in 8.9ms (Views: 7.5ms | ActiveRecord: 0.0ms)