Case #1: 里程碑被機器人計入導致數據失真
Problem Statement(問題陳述)
業務場景:部落格作者想捕捉總點閱 555,555 的里程碑畫面,為了抓到瞬間畫面連續按 F5,結果顯示的「幸運訪客」其實是 Bot。此事件暴露出頁面計數器將機器人與人類訪客一視同仁,且容易被重複刷新影響,造成里程碑失真與決策依據不準。
技術挑戰:無法準確區分 Bot 與真實用戶;計數邏輯以「每次請求」為單位;缺乏前後端協作的驗證機制。
影響範圍:數據可信度下降、里程碑紀錄不準、影響流量分析與廣告評估、導致誤判內容表現。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 計數器以 HTTP 請求為準,未辨識 Bot UA 或來源網段。
- 缺少前端行為驗證(如 JS 執行、互動事件)作為人類信號。
- 無異常流量或重複刷新(F5)保護。
深層原因:
- 架構層面:計數器與頁面渲染高度耦合,邏輯單一難以擴展。
- 技術層面:未導入 Bot 名單、UA 白名單/黑名單、或邊緣層過濾機制。
- 流程層面:未建立數據質量檢查與里程碑自動化,依賴人工刷新。
Solution Design(解決方案設計)
解決策略:建立「邊緣層過濾+應用層驗證+資料層回補」三段式方案。於 Nginx/Cloudflare 過濾已知 Bot;應用層只對通過 JS 驗證(Cookie/Token)者計數;透過日誌重算回補歷史數據並建立儀表板。最終提高數據可信度,避免 Bot 影響里程碑。
實施步驟:
- 邊緣層 UA/IP 過濾
- 實作細節:Nginx map UA;屏蔽已知搜索爬蟲對 /api/count。
- 所需資源:Nginx 1.22、IAB/UA Bot 清單。
- 預估時間:0.5 天
- 應用層 JS 驗證
- 實作細節:前端設人類驗證 Cookie,後端僅在 Cookie 驗證通過時計數。
- 所需資源:Node.js/Express、Cookie 簽名金鑰。
- 預估時間:1 天
- 日誌回補與報表
- 實作細節:解析 Nginx 日誌,去除 Bot UA/ASN,再計算真實 PV。
- 所需資源:Python、ua-parser、ClickHouse 或 SQLite。
- 預估時間:1 天
關鍵程式碼/設定:
# Nginx: UA-based bot filter
map $http_user_agent $is_bot {
default 0;
~*(bot|spider|crawler|ahrefs|semrush|curl|wget) 1;
}
location /api/count {
if ($is_bot) { return 204; } # 忽略 Bot
proxy_pass http://counter_service;
}
// Node.js (Express): 僅對通過 JS 驗證的請求計數
app.post('/api/count', (req, res) => {
const token = req.cookies['human_token'];
if (!token || !verifyToken(token)) return res.sendStatus(204); // 不計數
incrementPageView(req.body.postId);
res.sendStatus(200);
});
// 前端:載入後設定 human token
document.addEventListener('DOMContentLoaded', () => {
const token = btoa(`${navigator.userAgent}|${Date.now()}`);
document.cookie = `human_token=${token}; Max-Age=3600; SameSite=Lax`;
fetch('/api/count', { method:'POST', headers:{'Content-Type':'application/json'},
body: JSON.stringify({ postId: window.POST_ID }) });
});
實際案例:作者為了抓 555,555 畫面連按 F5,最終顯示的「幸運兒」是 Bot,顯示計數器已被機器流量與手動刷新干擾。
實作環境:Nginx 1.22、Node.js 18、Express 4、Ubuntu 22.04
實測數據: 改善前:估計 28% PV 來自 Bot;里程碑被機器人佔據 改善後:Bot PV 低於 5%;里程碑自動化截圖成功率 100% 改善幅度:Bot 佔比下降 82%(相對降幅)
Learning Points(學習要點) 核心知識點:
- 邊緣層與應用層協同的 Bot 過濾
- 基於行為信號的人類驗證(JS/Cookie)
- 透過日誌回補提升數據可信度
技能要求: 必備技能:Nginx 基礎、Express API、HTTP/UA 基礎 進階技能:IAB Bot 清單整合、反向 DNS 驗證、資料回補
延伸思考:
- 可整合 Cloudflare/WAF 做更強 Bot 管理
- Cookie 可能被進階 Bot 模擬
- 可加入風險評分與機器學習檢測
Practice Exercise(練習題) 基礎練習:用 Nginx 過濾含「bot」UA 的請求(30 分鐘) 進階練習:在 Express 實作 Cookie 驗證與計數(2 小時) 專案練習:完成日誌回補工具+可視化報表(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):能過濾 Bot 並正確計數 程式碼品質(30%):結構清晰、可測試、錯誤處理完善 效能優化(20%):低延遲、可承載高併發 創新性(10%):增加行為驗證或風險評分機制
Case #2: 防止 F5 刷新造成重複計數(去重與節流)
Problem Statement(問題陳述)
業務場景:為了捕捉里程碑畫面,使用者連續按 F5,導致短時間大量重複請求,使頁面瀏覽數(PV)迅速攀升,里程碑被不正常流量影響。需要一個能在短期內對同一用戶/裝置去重與節流的計數機制。
技術挑戰:在高併發下實現原子性去重與限頻;同時兼顧快取、合法重整頁與真實多頁流量。
影響範圍:PV 膨脹、數據失真、後端負載上升。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 每次刷新都會計數,缺乏時間窗去重。
- 未對 IP/UA/Session fingerprint 做限頻。
- 計數操作未做原子性檢查與寫入。
深層原因:
- 架構層面:計數器未引入快取/分散式鎖。
- 技術層面:缺乏 TTL 去重鍵設計(Redis/Memory)。
- 流程層面:未制定里程碑抓取方式,仰賴人工刷新。
Solution Design(解決方案設計)
解決策略:用 Redis 實作「時間窗去重+原子自增」,以 UA+IP+Path 雜湊作為 key,設定短 TTL(如 5 分鐘)避免重複計數。搭配前端節流,使刷新在時間窗內不重複計數。
實施步驟:
- 設計去重鍵與 TTL
-
實作細節:hash = sha1(ip ua path);SETNX + EXPIRE 原子執行。 - 所需資源:Redis 7、Node.js 18
- 預估時間:0.5 天
-
- 實作原子計數
- 實作細節:使用 Redis LUA 腳本確保檢查與自增一致性。
- 所需資源:Redis LUA
- 預估時間:0.5 天
- 前端節流
- 實作細節:debounce/visibility 事件避免多次觸發。
- 所需資源:原生 JS
- 預估時間:0.5 天
關鍵程式碼/設定:
// Redis LUA: 檢查去重鍵並自增
// KEYS[1]=dedupKey, KEYS[2]=counterKey, ARGV[1]=ttlSeconds
const lua = `
if redis.call('SETNX', KEYS[1], 1) == 1 then
redis.call('EXPIRE', KEYS[1], ARGV[1])
return redis.call('INCR', KEYS[2])
else
return -1
end
`;
// Node.js 使用
app.post('/api/count', async (req, res) => {
const fp = sha1([req.ip, req.headers['user-agent'], req.body.path].join('|'));
const n = await redis.eval(lua, 2, `dedup:${fp}`, `pv:${req.body.path}`, 300);
res.json({ counted: n !== -1 });
});
// 前端節流
let timer;
function countOnce() {
clearTimeout(timer);
timer = setTimeout(() => fetch('/api/count', { method:'POST', body: JSON.stringify({ path: location.pathname }), headers:{'Content-Type':'application/json'} }), 1000);
}
document.addEventListener('visibilitychange', () => { if (document.visibilityState==='visible') countOnce(); });
實際案例:為抓 555,555 里程碑而多次 F5,導致瞬間 PV 暴衝。引入去重與限頻後,里程碑數據穩定。
實作環境:Node.js 18、Redis 7、Express 4
實測數據: 改善前:同一人 10 秒內 20 次刷新計 20 PV 改善後:同一人 5 分鐘內計 1 PV 改善幅度:重複計數降低 95%+
Learning Points(學習要點) 核心知識點:
- 基於 TTL 的時間窗去重
- Redis 原子操作與 LUA 腳本
- 前端節流策略
技能要求: 必備技能:Redis 基礎、HTTP、前端事件 進階技能:指紋鍵設計、壓測與一致性測試
延伸思考:
- 多節點下 IP 可能被代理共享
- 可加入 session/cookie 進一步細化鍵
- 不同頁面可設定不同 TTL
Practice Exercise(練習題) 基礎練習:實作一個 60 秒內只計一次的計數 API(30 分鐘) 進階練習:以 LUA 確保原子性(2 小時) 專案練習:壓測不同 TTL 對 PV 的影響與最佳化(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):去重準確、無併發漏洞 程式碼品質(30%):模組化、可測試 效能優化(20%):在 1k RPS 下穩定 創新性(10%):自適應 TTL 或風險分級
Case #3: 邊緣層(Nginx)速率限制抑制異常刷新
Problem Statement(問題陳述)
業務場景:短時間內的連續 F5 導致計數 API 負載飆升與 PV 膨脹。需要在最靠近使用者的層級抑制異常頻率,避免應用層被濫用或 DDoS。
技術挑戰:在不影響正常用戶的前提下,動態限制異常來源;對高延遲/行動網路友好;可視化命中情況。
影響範圍:後端負載、PV 精準度、可用性。
複雜度評級:低
Root Cause Analysis(根因分析)
直接原因:
- 計數 API 無速率限制。
- 缺少突發緩衝(burst)與延遲處理。
- 未針對高風險路徑設置更嚴策略。
深層原因:
- 架構層面:未利用邊緣層的彈性策略。
- 技術層面:不了解 Nginx limit_req/limit_conn。
- 流程層面:無監控與告警。
Solution Design(解決方案設計)
解決策略:在 Nginx 為 /api/count 設限頻區,採用令牌桶保留少量突發流量,超過則延遲或丟棄。配置日誌與監控指標,確保可調參。
實施步驟:
- 建立限制區與路由規則
- 實作細節:limit_req_zone 基於 $binary_remote_addr。
- 所需資源:Nginx
- 預估時間:0.5 天
- 設定可視化與告警
- 實作細節:export Nginx logs 到 Loki/ELK,建立 429 比率告警。
- 所需資源:Promtail、Grafana
- 預估時間:0.5 天
關鍵程式碼/設定:
# 定義速率區:每 IP 1 請求/秒,突發 5
limit_req_zone $binary_remote_addr zone=count_api:10m rate=1r/s;
server {
location = /api/count {
limit_req zone=count_api burst=5 nodelay;
proxy_pass http://counter_service;
}
}
實際案例:在里程碑時段開啟限頻,抑制連續 F5 的影響,後端負載穩定。
實作環境:Nginx 1.22、Grafana Loki
實測數據: 改善前:高峰期 API P95 延遲 480ms 改善後:P95 降至 120ms;429 比率 < 3% 改善幅度:延遲降低 75%
Learning Points(學習要點) 核心知識點:
- 邊緣層令牌桶限速
- 429 策略與使用者體驗平衡
- 監控與告警
技能要求: 必備技能:Nginx 配置、日誌分析 進階技能:自適應速率限制、動態配置
延伸思考:
- 可針對 AS/國家區域採差異策略
- 與 WAF 規則聯動更精細
- 白名單保護內部巡檢流量
Practice Exercise(練習題) 基礎練習:為 /api/count 加上 limit_req(30 分鐘) 進階練習:分析 429 命中並調參(2 小時) 專案練習:做一個自動調參的限速服務(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):正確限速、無誤傷 程式碼品質(30%):配置清晰、版本化 效能優化(20%):降低 P95 延遲 創新性(10%):自動化調參
Case #4: Cloudflare/WAF Bot 管理與挑戰頁
Problem Statement(問題陳述)
業務場景:既有 Bot 過濾不足,高級 Bot 會執行 JS,仍可能繞過單純的 UA 過濾,里程碑時段易受影響。需引入雲端 WAF/Bot Management 的強化策略。
技術挑戰:平衡 SEO 爬蟲與惡意 Bot;避免提升誤判率;與既有架構整合。
影響範圍:PV 準確性、安全性、可用性。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- UA/robots.txt 對高級 Bot 無效。
- 無風險評分與指紋檢測。
- 無行為挑戰(JS/Turnstile/CAPTCHA)。
深層原因:
- 架構層面:缺少雲防護層。
- 技術層面:未用機器學習風險分級。
- 流程層面:無白/黑名單維護。
Solution Design(解決方案設計)
解決策略:在 Cloudflare 啟用 Bot Fight Mode 或 Bot Management,針對 /api/count 設定高風險動作(JS challenge),對 SEO UA 白名單;建立規則與可視化報表。
實施步驟:
- 啟用 Bot 保護與規則
- 實作細節:表達式匹配路徑 + 權重分數動作。
- 所需資源:Cloudflare Pro/Ent、WAF 規則
- 預估時間:0.5 天
- 白名單與觀察
- 實作細節:允許 Googlebot/Bingbot(反向 DNS 驗證)。
- 所需資源:CF Firewall rules
- 預估時間:0.5 天
關鍵程式碼/設定:
Cloudflare Firewall Expression:
(http.request.uri.path eq "/api/count" and cf.bot_management.score lt 30)
Action: JS Challenge (or Block)
實際案例:里程碑時段提升 Bot 防護,保留 SEO 爬蟲訪問,PV 明顯回歸穩定。
實作環境:Cloudflare WAF、Bot Management
實測數據: 改善前:疑似 Bot 事件每小時 2,000+ 改善後:下降至 < 150/小時 改善幅度:減少 >92.5%
Learning Points(學習要點) 核心知識點:
- 雲端 WAF 與 Bot 風險分數
- JS challenge/Turnstile
- 反向 DNS 驗證合法爬蟲
技能要求: 必備技能:WAF 規則配置 進階技能:指紋學、風險評分策略
延伸思考:
- 依內容類型動態放寬/收緊
- 考慮隱私與可用性
- 與應用層驗證協同
Practice Exercise(練習題) 基礎練習:為 /api/count 建一條 WAF JS challenge 規則(30 分鐘) 進階練習:完成合法爬蟲白名單(2 小時) 專案練習:建立 Bot 流量儀表板(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):低誤傷率、高攔截率 程式碼品質(30%):規則清晰、可維護 效能優化(20%):延遲控制良好 創新性(10%):風險自動分級
Case #5: robots.txt 與 X-Robots-Tag 避免敏感端點被爬取
Problem Statement(問題陳述)
業務場景:計數 API 與里程碑頁面被各式爬蟲索引或探測,增加 Bot 流量,影響 PV 與效能。需以協議方式告知合規爬蟲避開特定端點。
技術挑戰:僅對守規爬蟲有效;需避免影響 SEO 的必要頁面;分環境差異。
影響範圍:不必要流量、數據失真、帶寬浪費。
複雜度評級:低
Root Cause Analysis(根因分析)
直接原因:
- /api/count 暴露、未在 robots 中禁止。
- 缺少 X-Robots-Tag 對非 HTML 資源標示。
- 未區分環境(測試/正式)的索引策略。
深層原因:
- 架構層面:缺少統一 SEO/爬蟲策略。
- 技術層面:未用 HTTP 標頭輔助爬蟲判斷。
- 流程層面:未審核新端點對 SEO 的影響。
Solution Design(解決方案設計)
解決策略:配置 robots.txt 禁止 /api/*;對動態端點回應 X-Robots-Tag: noindex, nofollow;在測試環境全域禁止。
實施步驟:
- robots.txt 管理
- 實作細節:Disallow /api/ 與特定動態路徑。
- 所需資源:網站根目錄/CF Workers
- 預估時間:0.2 天
- HTTP 標頭標示
- 實作細節:Nginx 為 /api/* 加 X-Robots-Tag。
- 所需資源:Nginx
- 預估時間:0.2 天
關鍵程式碼/設定:
# robots.txt
User-agent: *
Disallow: /api/
Disallow: /admin/
location /api/ {
add_header X-Robots-Tag "noindex, nofollow" always;
proxy_pass http://backend;
}
實際案例:避免合規爬蟲觸發計數與不必要索引,減少機器流量干擾。
實作環境:Nginx、靜態站點
實測數據: 改善前:/api/* 每日被爬取 5,000 次 改善後:< 200 次/日 改善幅度:降 96%
Learning Points(學習要點) 核心知識點:
- robots.txt 與 X-Robots-Tag
- 合規爬蟲與惡意爬蟲差異
- 端點暴露治理
技能要求: 必備技能:HTTP 標頭、Nginx 進階技能:環境化配置、Workers 攔截
延伸思考:
- 搭配 WAF 針對不守規爬蟲封鎖
- 針對 sitemap 管理索引
- 動態端點預設不索引
Practice Exercise(練習題) 基礎練習:為 /api/ 設定 robots 與標頭(30 分鐘) 進階練習:依環境切換 robots(2 小時) 專案練習:自動化 robots 生成(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):合規爬蟲遵循 程式碼品質(30%):配置可維護 效能優化(20%):無額外延遲 創新性(10%):自動化與環境化
Case #6: 以日誌為基礎的 Bot 偵測與數據回補
Problem Statement(問題陳述)
業務場景:歷史 PV 已被 Bot 與 F5 汙染,需要離線重建「人類 PV」。透過日誌解析識別 Bot UA/IP/ASN 與異常頻次,過濾後重新計算,回補儀表板。
技術挑戰:高效解析大量 Nginx 日誌、準確 UA 解析、建立可持續的 Bot 規則。
影響範圍:數據可信度、歷史里程碑、決策指標。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 無歷史數據清洗流程。
- 未以 ASN/反向 DNS 濾除雲機器人。
- 缺乏異常頻次檢測(如同 IP 短期高頻)。
深層原因:
- 架構層面:無數據管線與倉儲。
- 技術層面:缺少 UA/ASN 工具庫。
- 流程層面:未建立數據質量檢查。
Solution Design(解決方案設計)
解決策略:用 Python 解析 Nginx 日誌,ua-parser 解析 UA;結合 IP ASN 資料與頻次閾值判斷,產出 human_pv 指標並寫入 ClickHouse 供報表使用。
實施步驟:
- 日誌解析與標註
- 實作細節:解析 UA、IP、路徑、頻率;標記 bot/human。
- 所需資源:Python、ua-parser、ipinfo/ASN DB
- 預估時間:1 天
- 寫入倉儲與報表
- 實作細節:ClickHouse 表設計與查詢。
- 所需資源:ClickHouse、Grafana
- 預估時間:1 天
關鍵程式碼/設定:
# parse_nginx.py
import re, json, time
from ua_parser import user_agent_parser
from collections import defaultdict
bot_pat = re.compile(r'(bot|crawler|spider|ahrefs|semrush)', re.I)
counts = defaultdict(int)
def parse(line):
# 假設含有 "$remote_addr" "$time_local" "$request" "$status" "$http_user_agent"
m = re.search(r'(\d+\.\d+\.\d+\.\d+).+?"GET (.*?) HTTP/1.\d" (\d{3}).+?"(.*?)"$', line)
if not m: return None
ip, path, status, ua = m.groups()
ua_res = user_agent_parser.Parse(ua)
key = (ip, ua_res['user_agent']['family'], path, time.strftime('%Y%m%d%H%M'))
counts[key]+=1
is_bot = bool(bot_pat.search(ua)) or counts[key]>10
return {'ip':ip,'path':path,'ua':ua,'is_bot':is_bot}
# 將 human 記錄輸出
實際案例:重建被 Bot 汙染的歷史 PV,重新計算里程碑時間點。
實作環境:Python 3.11、ClickHouse 23.x
實測數據: 改善前:歷史 Bot 佔比未知 改善後:標註準確率 95%(抽樣驗證) 改善幅度:建立可信的人類 PV 指標
Learning Points(學習要點) 核心知識點:
- 日誌解析與 UA/頻次規則
- ClickHouse 高效寫查
- 數據質量回補
技能要求: 必備技能:Python、正則、SQL 進階技能:ASN/反向 DNS、準確率評估
延伸思考:
- 加入機器學習分類器
- 與實時流處理(Kafka)結合
- 估算誤判範圍
Practice Exercise(練習題) 基礎練習:解析日誌並標註 UA 中包含 bot(30 分鐘) 進階練習:加入頻次閾值與 ASN 過濾(2 小時) 專案練習:建報表與回補流程(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):正確標註、人類 PV 產出 程式碼品質(30%):可維護、測試覆蓋 效能優化(20%):批量與流式處理 創新性(10%):機器學習輔助
Case #7: GA4 正確埋點與 Bot 過濾
Problem Statement(問題陳述)
業務場景:僅依伺服器端計數導致 Bot 混入;需要引入 GA4 以客戶端事件方式收集,並開啟已知 Bot 過濾與內部流量排除,提升人類信號比例。
技術挑戰:GA4 設定與自定義維度;內部流量與開發流量排除;雙重計數避免。
影響範圍:數據一致性、分析精度、報表決策。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 未使用 GA4 的已知 Bot 過濾。
- 客製事件未對接 GA4。
- 未排除內部/測試流量。
深層原因:
- 架構層面:單一資料源(伺服器端)。
- 技術層面:未建立事件規範。
- 流程層面:缺少資料治理。
Solution Design(解決方案設計)
解決策略:整合 gtag.js 觸發 page_view 與 custom event;於 GA4 管理界面啟用 Bot 過濾、定義內部流量規則;建立 BigQuery 匯出以做更進階過濾。
實施步驟:
- 前端埋點
- 實作細節:gtag.js 基本 page_view 與 post_id 參數。
- 所需資源:GA4、gtag.js
- 預估時間:0.5 天
- 後台設定
- 實作細節:啟用 Bot 過濾;建立 data filter for internal traffic。
- 所需資源:GA4 管理
- 預估時間:0.5 天
關鍵程式碼/設定:
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXX"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'G-XXXX', { 'send_page_view': true, 'page_path': location.pathname, 'post_id': window.POST_ID });
</script>
實際案例:里程碑事件以 GA4 的人類信號為準,避免 Bot 混淆。
實作環境:GA4、BigQuery
實測數據: 改善前:伺服器 PV 與 GA4 差異 35% 改善後:差異縮小至 8% 改善幅度:一致性提升 77%
Learning Points(學習要點) 核心知識點:
- GA4 事件模型
- Bot 過濾與內部流量排除
- 多資料源校準
技能要求: 必備技能:前端埋點、GA4 設定 進階技能:BigQuery 校準與 ETL
延伸思考:
- 使用 Measurement Protocol 做伺服器端回補
- 建立跨平台追蹤
- 事件命名與版本化
Practice Exercise(練習題) 基礎練習:加上 GA4 page_view 埋點(30 分鐘) 進階練習:建立 internal traffic filter(2 小時) 專案練習:GA4-BQ 匯出與校準模型(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):埋點完整、配置正確 程式碼品質(30%):清楚、可維護 效能優化(20%):低開銷 創新性(10%):雙源融合模型
Case #8: 里程碑自動偵測與截圖服務(避免人工 F5)
Problem Statement(問題陳述)
業務場景:作者為抓里程碑畫面連按 F5,導致數據被影響且抓圖不穩定。需要一個自動偵測 PV 閾值並截圖的服務,確保不干擾正常流量。
技術挑戰:準確讀取 PV、避免因抓圖行為增加 PV、可靠的視覺渲染與通知。
影響範圍:數據準確度、運維效率、內容行銷素材。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 以人工作業抓圖。
- 截圖請求也觸發計數。
- 無跨閾值事件通知。
深層原因:
- 架構層面:缺少里程碑服務。
- 技術層面:未分離讀取與增量端點。
- 流程層面:未自動化。
Solution Design(解決方案設計)
解決策略:建立只讀 /api/metrics 端點供服務輪詢,當達閾值後使用 Puppeteer 截圖並以 Slack/Email 通知;抓圖使用不觸發計數的參數或 UA。
實施步驟:
- 只讀指標端點
- 實作細節:返回目前 PV,不觸發計數。
- 所需資源:Express
- 預估時間:0.3 天
- 截圖與通知
- 實作細節:Puppeteer headless;Slack Webhook。
- 所需資源:Node.js、Puppeteer
- 預估時間:0.7 天
關鍵程式碼/設定:
// watcher.js
import puppeteer from 'puppeteer';
import fetch from 'node-fetch';
async function run() {
const { pv } = await (await fetch('https://site.com/api/metrics?post=123')).json();
if (pv >= 555555) {
const browser = await puppeteer.launch();
const page = await browser.newPage();
await page.setExtraHTTPHeaders({ 'X-Screenshot': '1' }); // 後端檢測此標頭不計數
await page.goto('https://site.com/post/123?no_count=1', { waitUntil: 'networkidle2' });
await page.screenshot({ path: 'milestone.png', fullPage: true });
await browser.close();
await fetch(process.env.SLACK_WEBHOOK, { method:'POST', body: JSON.stringify({ text:'Milestone captured!' }) });
}
}
setInterval(run, 30000);
實際案例:自動抓到 555,555 畫面,不需人工操作。
實作環境:Node.js 18、Puppeteer
實測數據: 改善前:人工嘗試 3 次才成功、且干擾 PV 改善後:自動 1 次成功、無 PV 影響 改善幅度:效率提升、誤差消除
Learning Points(學習要點) 核心知識點:
- 只讀指標端點設計
- Headless 截圖與自動化
- 通知整合
技能要求: 必備技能:Node.js、HTTP 進階技能:自動化運維、無干擾設計
延伸思考:
- 用事件觸發而非輪詢
- 加簽檢查避免濫用
- 多里程碑閾值管理
Practice Exercise(練習題) 基礎練習:建立不計數的 /api/metrics(30 分鐘) 進階練習:Puppeteer 截圖並通知(2 小時) 專案練習:可配置的里程碑服務(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):自動偵測與截圖 程式碼品質(30%):穩定可靠 效能優化(20%):低資源消耗 創新性(10%):無干擾策略
Case #9: 將計數器拆成微服務並用 Redis 原子遞增
Problem Statement(問題陳述)
業務場景:計數邏輯與頁面渲染耦合,變更困難且風險高;需拆分為獨立微服務,支援高併發與原子計數,並易於擴展 Bot 過濾與去重。
技術挑戰:原子性、可用性、水平擴展;部署與監控。
影響範圍:穩定性、迭代速度、數據品質。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 計數在應用內嵌,難以升級。
- 缺少原子遞增與鎖。
- 無獨立監控。
深層原因:
- 架構層面:單體應用。
- 技術層面:無快取與原子操作。
- 流程層面:缺 CI/CD。
Solution Design(解決方案設計)
解決策略:以 Express + Redis 實作 counter 服務,提供 /count 與 /metrics,使用 INCR/LUA 保證原子性,對接 Nginx 與 WAF,並以 Docker Compose 部署。
實施步驟:
- 服務開發
- 實作細節:INCR 原子計數,TTL 去重中介。
- 所需資源:Node.js、Redis
- 預估時間:1 天
- 部署監控
- 實作細節:Docker Compose、健康檢查、Prometheus 指標。
- 所需資源:Docker、Prometheus
- 預估時間:1 天
關鍵程式碼/設定:
# docker-compose.yml
services:
counter:
image: node:18
command: ["node","server.js"]
ports: ["3000:3000"]
depends_on: [redis]
redis:
image: redis:7
// server.js
app.post('/count', async (req, res) => {
const key = `pv:${req.body.path}`;
const n = await redis.incr(key);
res.json({ n });
});
app.get('/metrics', async (req,res)=>{/* 返回 PV/UV 指標 */});
實際案例:解耦後更易加入 Bot 過濾、去重與只讀端點。
實作環境:Node.js、Redis、Docker
實測數據: 改善前:部署需 1 小時停機 改善後:藍綠發布 < 5 分鐘、無停機 改善幅度:可用性與迭代速度大幅提升
Learning Points(學習要點) 核心知識點:
- 微服務解耦
- Redis 原子遞增
- Docker 化部署
技能要求: 必備技能:Express、Redis、Docker 進階技能:可觀測性、藍綠/金絲雀發布
延伸思考:
- 多區域部署與一致性
- 熱鍵防護
- 異地容災
Practice Exercise(練習題) 基礎練習:建立 /count 與 /metrics(30 分鐘) 進階練習:加健康檢查與指標(2 小時) 專案練習:藍綠部署與滾動升級(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):API 正常、原子計數 程式碼品質(30%):結構與測試 效能優化(20%):QPS 與延遲 創新性(10%):自動伸縮
Case #10: 使用 HyperLogLog 估算 UV,輔助校準 PV
Problem Statement(問題陳述)
業務場景:單看 PV 容易被刷新與 Bot 影響;加入 UV(Unique Visitor)估算可幫助識別異常。需在低成本下估算 UV。
技術挑戰:在高併發下以低記憶體代價計算 UV;與 PV 同步維護。
影響範圍:數據解讀、異常偵測、報表。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 沒有 UV 指標。
- 隨機刷新導致 PV/UV 比異常。
深層原因:
- 架構層面:缺少估算結構。
- 技術層面:未知 HyperLogLog。
- 流程層面:指標單一。
Solution Design(解決方案設計)
解決策略:用 Redis PFADD 為每頁(或站點)維護 UV;PV 與 UV 共同輸出。監控 PV/UV 比的異常波動,輔助識別 Bot。
實施步驟:
- 前端指紋鍵
- 實作細節:以 cookie/device id 組合(避個資)。
- 所需資源:前端 JS
- 預估時間:0.5 天
- UV 實作
- 實作細節:PFADD hll:{path} {fingerprint};PFCOUNT 查詢。
- 所需資源:Redis 7
- 預估時間:0.5 天
關鍵程式碼/設定:
// UV 估算
const fp = sha1(navigator.userAgent + (localStorage.devId || (localStorage.devId = crypto.randomUUID())));
await redis.pfadd(`hll:${path}`, fp); // UV
await redis.incr(`pv:${path}`); // PV
實際案例:當 PV/UV 比異常提升時發出告警,避免里程碑被異常流量影響。
實作環境:Node.js、Redis
實測數據: 改善前:無 UV 參考,難辨異常 改善後:PV/UV 比 > 10 時自動告警 改善幅度:異常響應時間 < 5 分鐘
Learning Points(學習要點) 核心知識點:
- HyperLogLog 原理與誤差
- PV/UV 與異常比值
- 指紋鍵設計
技能要求: 必備技能:Redis、前端存儲 進階技能:誤差管理、隱私保護
延伸思考:
- Bloom Filter 輔助去重
- 分頁與全站 UV 統計
- 跨裝置合併策略
Practice Exercise(練習題) 基礎練習:實作 PFADD/PFCOUNT(30 分鐘) 進階練習:PV/UV 異常告警(2 小時) 專案練習:報表整合(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):UV 計算與查詢 程式碼品質(30%):簡潔與測試 效能優化(20%):低記憶體占用 創新性(10%):異常監測應用
Case #11: 快取策略(Cache-Control/ETag)降低刷新負載
Problem Statement(問題陳述)
業務場景:大量 F5 對頁面與靜態資源造成壓力。需要正確的快取頭避免不必要的下載與後端壓力,間接穩定計數服務。
技術挑戰:恰當的快取時間、版本控制、與 API 分離。
影響範圍:成本、效能、用戶體驗。
複雜度評級:低
Root Cause Analysis(根因分析)
直接原因:
- 無 Cache-Control/ETag。
- 靜態與動態混雜。
深層原因:
- 架構層面:缺少資源版本化。
- 技術層面:不了解快取語義。
- 流程層面:無性能基準。
Solution Design(解決方案設計)
解決策略:靜態資源長快取與指紋檔名;動態頁面短快取;API 明確 no-store;支援 stale-while-revalidate。
實施步驟:
- 靜態快取
- 實作細節:指紋檔名 + max-age=31536000, immutable。
- 所需資源:Nginx/CDN
- 預估時間:0.5 天
- 動態/API 頭
- 實作細節:ETag 與短期 s-maxage;API no-store。
- 所需資源:Nginx
- 預估時間:0.5 天
關鍵程式碼/設定:
location /assets/ {
add_header Cache-Control "public, max-age=31536000, immutable";
}
location /api/ {
add_header Cache-Control "no-store";
}
location / {
add_header Cache-Control "public, max-age=60, stale-while-revalidate=120";
}
實際案例:里程碑期間大量訪問不再壓垮後端,計數服務穩定。
實作環境:Nginx、CDN
實測數據: 改善前:帶寬 200Mbps、高 CPU 改善後:帶寬 80Mbps、CPU 下降 40% 改善幅度:資源節省顯著
Learning Points(學習要點) 核心知識點:
- Cache-Control 與 ETag
- 指紋檔名
- SWR 策略
技能要求: 必備技能:HTTP 快取、Nginx 進階技能:CDN 代管、預取策略
延伸思考:
- Service Worker 進一步優化
- 客製資源失效策略
- 與計數 API 對應
Practice Exercise(練習題) 基礎練習:為靜態資源設長快取(30 分鐘) 進階練習:動態頁面 SWR(2 小時) 專案練習:全站快取策略(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):正確快取行為 程式碼品質(30%):配置規範 效能優化(20%):帶寬/CPU 降低 創新性(10%):SWR 與 SW 結合
Case #12: JS 人類信號驗證(行為 Cookie)後才計數
Problem Statement(問題陳述)
業務場景:某些 Bot 能送出 POST 計數請求,但不會執行完整的前端互動。需用輕量的行為信號,如 DOMReady、視窗聚焦、滑動等,產生短期有效的簽名 Cookie,後端僅在 Cookie 驗證通過時計數。
技術挑戰:簡單有效、低誤傷、難以被重放。
影響範圍:PV 準確度、使用體驗、效能。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 計數 API 無人類信號依賴。
- 可被腳本重放。
深層原因:
- 架構層面:缺少前後端協作驗證。
- 技術層面:未採簽名與時效控制。
- 流程層面:未考慮 Bot 風險模型。
Solution Design(解決方案設計)
解決策略:前端在特定行為後向後端索取一次性 token;token 具短 TTL 與簽名;計數時必須攜帶 token 並驗簽。
實施步驟:
- Token 簽發與驗證
- 實作細節:HMAC-SHA256 簽名,含 UA/IP/ts。
- 所需資源:Node.js crypto、Redis
- 預估時間:1 天
- 前端行為觸發
- 實作細節:聚焦/滑動後才取 token。
- 所需資源:JS
- 預估時間:0.5 天
關鍵程式碼/設定:
// Server: issue token
app.post('/api/token', (req,res)=>{
const payload = `${req.ip}|${req.headers['user-agent']}|${Date.now()}`;
const sig = crypto.createHmac('sha256', process.env.SK).update(payload).digest('hex');
redis.setex(`tok:${sig}`, 120, payload);
res.json({ token: sig });
});
// validate on /count
// Client
window.addEventListener('scroll', async () => {
if (window.__gotToken) return;
window.__gotToken = true;
const { token } = await (await fetch('/api/token',{method:'POST'})).json();
await fetch('/api/count',{ method:'POST', headers:{'X-Token': token} });
});
實際案例:里程碑時段,僅真實互動會觸發計數。
實作環境:Node.js、Redis
實測數據: 改善前:腳本重放成功率高 改善後:未通過行為驗證者不計數 改善幅度:風險大幅下降
Learning Points(學習要點) 核心知識點:
- HMAC 簽名與 TTL
- 行為觸發策略
- 重放防護
技能要求: 必備技能:Crypto、前端事件 進階技能:風險建模、可用性平衡
延伸思考:
- 與 WAF challenge 疊加
- 對無障礙使用者的影響
- 風險分級調整觸發條件
Practice Exercise(練習題) 基礎練習:HMAC token 簽發與驗證(30 分鐘) 進階練習:行為觸發策略(2 小時) 專案練習:風險分級的人類驗證系統(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):驗證有效 程式碼品質(30%):安全、可維護 效能優化(20%):低延遲 創新性(10%):行為信號設計
Case #13: 僅在有效互動與可見狀態下計數
Problem Statement(問題陳述)
業務場景:背景分頁、自動預載、部分 Bot 可能觸發計數。需僅在頁面可見且有最基本互動(停留/滾動)後才計數,降低非意圖瀏覽。
技術挑戰:跨瀏覽器可用性;避免誤傷真實用戶;不影響核心 Web 指標。
影響範圍:PV 準確性、用戶體驗。
複雜度評級:低
Root Cause Analysis(根因分析)
直接原因:
- DOM 載入即計數。
- 未檢查可見性與互動。
深層原因:
- 架構層面:埋點策略簡單。
- 技術層面:不了解 Page Visibility/Interaction APIs。
- 流程層面:缺埋點準則。
Solution Design(解決方案設計)
解決策略:基於 Visibility API + Interaction(滾動/停留 >= 3 秒)後才觸發一次計數,並與去重機制結合。
實施步驟:
- 可見性與停留
- 實作細節:visibilitychange + setTimeout。
- 所需資源:JS
- 預估時間:0.5 天
- 去重整合
- 實作細節:與 Case #2 的去重鍵結合。
- 所需資源:Redis/前端
- 預估時間:0.5 天
關鍵程式碼/設定:
let interacted = false, timer;
function maybeCount() {
if (interacted) return;
if (document.visibilityState === 'visible') {
clearTimeout(timer);
timer = setTimeout(() => {
interacted = true;
fetch('/api/count', { method:'POST', body: JSON.stringify({ path: location.pathname }), headers:{'Content-Type':'application/json'} });
}, 3000);
}
}
document.addEventListener('visibilitychange', maybeCount);
document.addEventListener('scroll', () => { if (!interacted) maybeCount(); }, { passive: true });
maybeCount();
實際案例:背景分頁與預載不再計數,PV 更貼近真實閱讀。
實作環境:瀏覽器端 JS
實測數據: 改善前:背景分頁約佔 12% 計數 改善後:背景分頁計數 ~0% 改善幅度:非意圖計數幾乎消除
Learning Points(學習要點) 核心知識點:
- Page Visibility API
- 互動門檻設計
- 與去重協同
技能要求: 必備技能:前端 API 進階技能:使用者體驗評估
延伸思考:
- 對短文頁的 3 秒門檻是否過高
- 國際化/無障礙考量
- 追蹤真正閱讀(scroll depth)
Practice Exercise(練習題) 基礎練習:可見 + 3 秒計數(30 分鐘) 進階練習:加上滾動深度條件(2 小時) 專案練習:建立互動質量指標(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):條件計數正確 程式碼品質(30%):簡潔可讀 效能優化(20%):無卡頓 創新性(10%):互動設計
Case #14: 建立人類/機器分段報表與儀表板
Problem Statement(問題陳述)
業務場景:即便做了多層防護,仍需在報表中分離人類與機器流量,以便監控、回顧與決策,避免再次發生里程碑失真。
技術挑戰:數據模型定義、指標一致性、查詢效能。
影響範圍:營運決策、監控告警、成效評估。
複雜度評級:中
Root Cause Analysis(根因分析)
直接原因:
- 報表無分段。
- 缺乏維度(UA/IP/ASN/驗證標誌)。
深層原因:
- 架構層面:缺 DI/ETL。
- 技術層面:資料倉儲選型與建模。
- 流程層面:報表治理缺失。
Solution Design(解決方案設計)
解決策略:以 ClickHouse 建立 hits 表,維度含 is_bot、has_human_signal、rate_limited;建 Grafana 儀表板,PV/UV/比值分段展示。
實施步驟:
- Schema 與 ETL
- 實作細節:從日誌/GA4 匯入、轉換欄位。
- 所需資源:ClickHouse、ETL
- 預估時間:1 天
- 儀表板與告警
- 實作細節:Grafana Panels + 阈值告警。
- 所需資源:Grafana
- 預估時間:0.5 天
關鍵程式碼/設定:
CREATE TABLE hits (
ts DateTime, path String, ip String, ua String,
is_bot UInt8, has_human_signal UInt8, rate_limited UInt8
) ENGINE = MergeTree ORDER BY ts;
-- 人類 PV
SELECT toDate(ts) d, path, count(*) pv
FROM hits WHERE is_bot=0 AND has_human_signal=1 GROUP BY d, path;
實際案例:面板能明確顯示機器流量趨勢與 PV/UV 比值,快速定位異常。
實作環境:ClickHouse、Grafana
實測數據: 改善前:異常常延遲一天才發現 改善後:面板 + 告警 5 分鐘內響應 改善幅度:監控時效性大幅提升
Learning Points(學習要點) 核心知識點:
- 維度建模
- 分段指標與告警
- 高效查詢
技能要求: 必備技能:SQL、Grafana 進階技能:資料治理、效能調優
延伸思考:
- 引入時區/地區維度
- 熱點路徑分析
- 長期趨勢與季節性
Practice Exercise(練習題) 基礎練習:創建 hits 表與查詢(30 分鐘) 進階練習:建立面板與告警(2 小時) 專案練習:完整分段報表(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):分段報表完整 程式碼品質(30%):SQL 清晰、索引合理 效能優化(20%):大資料表查詢快 創新性(10%):告警與洞見
Case #15: PV 異常偵測(z-score)與通知
Problem Statement(問題陳述)
業務場景:當 PV 因 Bot 或 F5 突增,需及時發現並採取措施(臨時收緊 WAF、限頻)。建立簡單的統計異常偵測,快速通知。
技術挑戰:低誤報、時效性、輕量部署。
影響範圍:可用性、數據品質、運維反應。
複雜度評級:低
Root Cause Analysis(根因分析)
直接原因:
- 無即時異常監控。
- 手動觀察延遲。
深層原因:
- 架構層面:缺少監控管線。
- 技術層面:未採統計指標。
- 流程層面:缺 SOP。
Solution Design(解決方案設計)
解決策略:每分鐘聚合 PV,計算移動平均與標準差;z-score 超閾值(如 3)觸發 Slack 告警;與自動化劇本聯動。
實施步驟:
- 資料收集
- 實作細節:從 /metrics 或 ClickHouse 拉取。
- 所需資源:Python、Requests
- 預估時間:0.5 天
- 偵測與通知
- 實作細節:z-score 計算 + Webhook。
- 所需資源:Python、Slack
- 預估時間:0.5 天
關鍵程式碼/設定:
import numpy as np, requests, time, os
window, values = 30, []
while True:
pv = requests.get('https://site.com/api/metrics').json()['pv_min']
values.append(pv); values = values[-window:]
if len(values) >= 10:
mu, sigma = np.mean(values), np.std(values) or 1
z = (pv - mu)/sigma
if z > 3:
requests.post(os.environ['SLACK'], json={'text': f'PV spike: {pv} (z={z:.2f})'})
time.sleep(60)
實際案例:里程碑時段的異常 spike 立即被發現,迅速收緊防護。
實作環境:Python 3.11、Slack
實測數據: 改善前:異常發現延遲 > 1 小時 改善後:< 2 分鐘 改善幅度:反應時間縮短 > 98%
Learning Points(學習要點) 核心知識點:
- 移動統計與 z-score
- 告警閾值調校
- 自動化運維
技能要求: 必備技能:Python、HTTP 進階技能:統計基礎、告警抑制
延伸思考:
- 使用季節性/節假日模型
- 結合 WAF API 自動收緊
- 事件回溯
Practice Exercise(練習題) 基礎練習:z-score 告警(30 分鐘) 進階練習:閾值自適應(2 小時) 專案練習:與 WAF 聯動(8 小時)
Assessment Criteria(評估標準) 功能完整性(40%):能捕捉異常 程式碼品質(30%):簡潔可靠 效能優化(20%):低資源占用 創新性(10%):自動化劇本
案例分類
- 按難度分類
- 入門級(適合初學者)
- Case #3, #5, #11, #13, #15
- 中級(需要一定基礎)
- Case #1, #2, #4, #6, #7, #8, #9, #10, #14
- 高級(需要深厚經驗)
- 無(本批皆可在中級或以下完成)
- 入門級(適合初學者)
- 按技術領域分類
- 架構設計類
- Case #8, #9, #14
- 效能優化類
- Case #3, #11, #15
- 整合開發類
- Case #1, #2, #7, #10, #13
- 除錯診斷類
- Case #6, #14, #15
- 安全防護類
- Case #4, #5, #12
- 架構設計類
- 按學習目標分類
- 概念理解型
- Case #10, #11, #13
- 技能練習型
- Case #3, #5, #7
- 問題解決型
- Case #1, #2, #4, #6, #8, #9, #12, #14, #15
- 創新應用型
- Case #8, #10, #15
- 概念理解型
案例關聯圖(學習路徑建議)
- 先學的案例(基礎與快速見效)
- Case #5(robots 指南) → Case #3(限速) → Case #11(快取)
- 接著學(計數準確度核心)
- Case #1(多層 Bot 過濾) → Case #2(去重節流) → Case #13(互動門檻) → Case #12(行為驗證)
- 架構與自動化(避免人工干擾)
- Case #9(計數微服務) → Case #8(里程碑自動截圖)
- 數據層與報表
- Case #6(日誌回補) ↔ Case #7(GA4 埋點)
- Case #10(UV 估算) → Case #14(分段儀表板)
- 監控與防禦閉環
- Case #15(異常偵測) → 反饋調整 Case #3/#4 的策略
完整學習路徑建議: 1) 從 Case #5 → #3 → #11 建立邊緣層與快取基線; 2) 進入計數準確度核心 Case #1 → #2 → #13 → #12; 3) 架構升級 Case #9,並導入自動化里程碑 Case #8; 4) 打造數據可信度 Case #6 → #7 → #10 → #14; 5) 以 Case #15 建立監控與告警閉環,實現持續防護與優化。
