一、问题现象与触发条件

在日常使用 Ranger 进行权限审计与安全排查时， 通过 Ranger Web UI → Audit 页面查看审计日志，会发现一个非常直观的问题：

审计日志展示的时间，与当前服务器时间明显不一致

例如在浏览器中看到的日志时间如下：

从页面效果来看，日志时间整体偏早，与实际操作发生时间存在固定偏移。

1、常见触发场景

该问题通常出现在以下环境中：

• 集群已启用 Kerberos

• Ranger Admin 运行时间较长（非首次部署）

• 运维或安全人员需要：

  • 对齐 Hive / HDFS / Ranger 多组件日志
  • 精确回溯权限变更与访问时间

在这些场景下，时间错位会直接影响判断结果。

影响说明

审计日志时间不准确，会导致：

• 安全事件回溯困难
• 权限误判
• 跨系统日志无法对齐

二、错误分析与排查

在确认问题现象稳定存在后，需要从时间来源链路逐层排查。

1、操作系统时间是否异常

首先在 Ranger Admin 所在节点检查系统时间：

[root@dev2 ~]# timedatectl
               Local time: Mon 2026-01-26 16:56:19 CST
           Universal time: Mon 2026-01-26 08:56:19 UTC
                 RTC time: Mon 2026-01-26 08:56:19
                Time zone: Asia/Shanghai (CST, +0800)
System clock synchronized: yes
              NTP service: active
          RTC in local TZ: no
[root@dev2 ~]# ps -ef | grep rangeradmin | grep -E "timezone|user.timezone"
ranger   1693004       1  0 Jan25 ?        00:09:50 java -Dproc_rangeradmin -Dzookeeper.sasl.client=true -Dzookeeper.sasl.clientconfig=Client -Dzookeeper.sasl.client.username=zookeeper -Djava.security.auth.login.config=/etc/ranger/admin/conf/ranger_jaas/ranger_zk_jaas.conf -Djavax.security.auth.useSubjectCredsOnly=false -Djavax.net.ssl.trustStore=/etc/ranger/admin/conf/ranger-admin-truststore.jks -Djavax.net.ssl.trustStorePassword=changeit -Djavax.net.ssl.trustStoreType=JKS -XX:MetaspaceSize=100m -XX:MaxMetaspaceSize=200m -Xmx1g -Xms1g -Xloggc:/usr/bigtop/3.2.0/usr/lib/ranger-admin/ews/logs/gc-worker.log -verbose:gc -XX:+PrintGCDetails -Duser.timezone=UTC -Dlogback.configurationFile=file:/usr/bigtop/3.2.0/usr/lib/ranger-admin/ews/webapp/WEB-INF/classes/conf/logback.xml -Duser=ranger -Dhostname=dev2 -Dservername=rangeradmin -Dlogdir=/var/log/ranger/admin -Dcatalina.base=/usr/bigtop/3.2.0/usr/lib/ranger-admin/ews -cp /usr/bigtop/3.2.0/usr/lib/ranger-admin/ews/webapp/WEB-INF/classes/conf:/usr/bigtop/3.2.0/usr/lib/ranger-admin/ews/lib/*:/usr/bigtop/3.2.0/usr/lib/ranger-admin/ews/webapp/WEB-INF/lib/*:/usr/bigtop/3.2.0/usr/lib/ranger-admin/ews/ranger_jaas/*:/usr/bigtop/3.2.0/usr/lib/ranger-admin/ews/webapp/WEB-INF/classes/conf/ranger_jaas:/opt/modules/jdk1.8.0_202/lib/*:/*: org.apache.ranger.server.tomcat.EmbeddedServer
[root@dev2 ~]# 

从输出可以确认：

• 系统时区：Asia/Shanghai
• 本地时间正常
• NTP 已启用并同步

排查结论

操作系统层面的时间与时区配置完全正常， 问题不在 OS。

2、Ranger Admin 进程时间来源

Ranger Admin 本质上是一个 Java Web 应用， 其时间来源并不直接取决于操作系统，而是取决于 JVM 启动参数。

检查 Ranger Admin 进程：

[root@dev2 ~]# ps -ef | grep rangeradmin | grep -E "timezone|user.timezone"

可以在进程启动参数中看到：

-Duser.timezone=UTC

对应截图如下：

3、根因确认

根因说明

Ranger Admin 在启动时， 显式指定了 JVM 时区为 UTC， 导致：

• 审计日志时间
• Web UI 展示时间
• 部分后台任务日志 全部基于 UTC 进行格式化。

即使操作系统已经切换到 Asia/Shanghai， 只要 JVM 仍然使用 UTC，时间偏移就一定存在。

三、解决办法

针对该问题，可以从 运行态修复 和 构建态修复 两个层面处理。

方案一：通过 Ambari 配置修复（推荐）

该方式适合 已部署集群，不涉及重新编译。

1、配置方式

在 Ambari 中进入：

Ranger → 高级配置 → Ranger Env / Java Opts

追加 JVM 时区参数：

{# TTBigdata: 优化日志时间为国内时间 #}
export JAVA_OPTS="$JAVA_OPTS -Duser.timezone=Asia/Shanghai"

配置界面如下：

2、生效方式

• 保存配置
• 重启 Ranger Admin

适用场景

• 生产环境
• 快速止血
• 不影响现有 Stack 结构

方案二：Stack 模板层修复（适合重新编译）

该方式适合 私有发行版 / 二次封装 Ambari 场景。

1、修改文件

ambari-server/src/main/resources/stacks/BIGTOP/3.2.0/services/RANGER/properties/ranger-env.sh.j2

2、修复思路

在模板中统一为 JAVA_OPTS 注入：

-Duser.timezone=Asia/Shanghai

修改示意如下：

适用场景

• 新集群交付
• 避免后续节点重复配置

四、修复成果与验证

完成修复并重启 Ranger Admin 后， 直接从日志层面进行验证。

tail -f /var/log/ranger/admin/ranger-admin-dev2-ranger.log

日志输出时间如下：

可以看到：

• 日志时间与系统时间一致
• Web UI 审计页面时间同步恢复正常

成果说明

至此：

• Ranger 审计日志时间问题彻底消除
• 多组件日志对齐恢复正常
• 审计与安全分析不再受时间偏移影响