Структурное логирование: построй production-pipeline логирования

Возьми небольшой HTTP-сервис (Node/Go/JVM/Python) и построй production-grade pipeline структурного логирования end-to-end: OTel-схема, маршрутизация по log level, sampling на уровне коллектора, двухслойная редакция PII, автоматическая корреляция по trace_id и выделенная подсистема audit-логов — доказывая каждое свойство запросом, тестом или измерением до/после.

• Построй или возьми небольшой HTTP-сервис как минимум с тремя эндпоинтами: success path (например GET /orders), падающий путь (например downstream-вызов, возвращающий 5xx) и чувствительный путь (например POST /signup, принимающий email, пароль и auth-заголовок).
• Эмить OTel-форму JSON-логов в stdout: каждая строка несёт timestamp, level/SeverityNumber, service.name, message и event-специфичные атрибуты с именами из OTel Semantic Conventions (http.route, http.response.status_code, error.type). Задай resource-атрибуты (service.name, service.version, deployment.environment) однажды на старте.
• Классифицируй log level правильно: INFO на success path (request_completed), WARN для восстановимого retry/fallback, ERROR для 5xx, оставившего работу несделанной. Покажи, что ERROR/FATAL пейджили бы, а WARN маршрутизировался бы в дашборд, хотя бы задокументировав это таблицей маршрутизации.
• Автоинжекти trace_id и span_id из активного span через хук логгера (mixin pino / handler slog / processor structlog / MDC). Включи хотя бы один async-путь (setTimeout, горутина или тред) и сделай так, чтобы его лог-строка несла входящий trace_id.
• Добавь двухслойную редакцию PII: deny-list логгер-SDK у источника для известных путей (req.headers.authorization, body.password, user.email) И regex-скраббер на уровне коллектора для email/card-подобных паттернов независимо от имени поля. Логируй непрозрачный user_id, никогда email или имя.
• Передавай ввод пользователя только типизированными атрибутами — никогда не интерполируй его в строку сообщения. Добавь тест, который шлёт комментарий с переводом строки + поддельным ERROR-объектом JSON и проверяет, что вывод — по-прежнему ровно одна лог-запись (CWE-117 предотвращён).
• Настрой sampling на уровне коллектора: success-path sampling, держащий ~10% INFO, но 100% WARN и ERROR. Сними цифры дневного объёма до/после при одной и той же нагрузке.
• Маршрутизируй audit-события (логин, выдача роли, доступ к регулируемым данным) по атрибуту category='audit' в отдельный pipeline и индекс с более долгим retention, append-only/immutable-хранилищем и более узким доступом, чем у операционных логов.

• Снятая лог-строка с каждого эндпоинта, показывающая полную OTel-схему, правильный log level и ненулевой trace_id — включая строку async-пути, несущую входящий trace_id.
• Таблица объёма до/после, доказывающая, что success-path sampling срезал INFO на ~90%, тогда как запрос подтверждает выживание 100% WARN/ERROR.
• Доказательство, что чувствительный эндпоинт не утекает PII: запрос по индексированным логам на тестовый email/пароль/токен возвращает ноль попаданий, и редакция держится, даже когда тест намеренно дампит весь body запроса на ошибке.
• Тест CWE-117 проходит: комментарий с поддельным переводом строки порождает ровно одну лог-запись, а не две.
• Audit-событие приземляется в audit-индекс (не в операционный), и запрос показывает, что политика retention/доступа операционного индекса отличается от audit-индекса.
• Абзац разбора: какой слой что поймал (deny-list у источника против скраббера коллектора), почему sampling учитывает severity и что ломается, если audit и операционные логи делят один индекс.