一、访问日志的格式
Apache内建了记录服务器活动的功能,这就是它的日志功能。下文详细介绍Apache的访问日志、错误日志、以及如何分析日志数据,如何定制Apache日志,如何从日志数据生成统计报表等内容。
如果Apache的安装方式是默认安装,服务器一运行就会有两个日志文件生成。这两个文件是access_log和error_log、采用默认方式时,这些文件可以在/usr/local/apache/logs下找到。访问日志access_log记录了所有对web服务器的访问活动。下面是访问日志中的典型记录:
216.35.116.91 - - [19/Aug/2000:14:47:37 -0400] "GET / HTTP/1.0" 200 654
这行内容由七项构成,上面的例子中有两项空白,但整行内容仍旧分成了7项。
(1)第一项信息是远程主机的地址,即它表明访问网站的究竟是谁。(可以要求apache查出所有的主机名字,并在日志文件中用主机名字来替代IP地址,但这种做法会极大的影响服务器记录日志的速度,从而降低整个网站的效率,不值得推荐)。然而,如果确实有必要让Apache找出远程主机的名字,可以使用如下指令:
HostNameLookups on
如果HostNameLookups设置成double而不是on,日志记录程序将对它找到的主机名字进行反向查找,验证该主机名字确实指向了原来出现的IP地址。
(2)上例日志记录的第二项是空白,用一个“-”占位符替代。实际上绝大多数时候这一项都是如此。这个位置用于记录浏览者的标识,这不只是浏览者的登录名字,而是浏览者的email地址或者其他唯一标识符。这个信息由identd返回,或者直接由浏览器返回。(为了避免用户的邮箱被垃圾邮件骚扰,第二项就用“-”取代了)。
(3)日记记录的第三项也是空白。这个位置用于记录浏览者进行身份验证时提供的名字。当然,如果网站的某些内容要求用户进行身份验证,那么这项信息室不会空白的。但是,对于大多数网站来说,日志文件的大多数记录中这一项仍旧是空白的。
(4)日志记录的第四项是请求的时间。这个信息用方括号包围,而且采用“公用日志格式”或者“标准英文格式”。因此,时间信息最后的“-0400”表示服务器所处时区位于UTC之前的4小时。
(5)日志记录的第五项信息或许是整个日志记录中最有用的信息,它告诉我们服务器受到的是一个什么样的请求。该项信息的典型格式是“METHOD RESOURCE PROTOCOL”即“方法 资源 协议”(我们通常进行日志监控的时候,主要也是看这项内容)。例子中METHOD是GET,还有POST、HEAD等其他类型,主要是这三种。
RESOURCE是指浏览者向服务器请求的文档或者URL。在这个例子中,浏览者请求的是“/”,即网站的根或者主页。大多数情况下,“/”指向DocumentRoot目录的index.html文档,但根据服务器配置的不同也可能指向其他文件。
PROTOCOL通常是HTTP,然后再加上版本号。
(6)日志的第六项信息室状态代码。它告诉我们请求是否成功,或者遇到了什么样的错误。大多数时候这项是200,它表示服务器已经成功的响应浏览器的请求,一切正常。(以2开头的状态码表示成功,以3开头的状态码表示由于各种不同的原因用户请求被重定向到了其他位置,以4开头的状态代码表示客户端存在某种错误,以5开头的状态代码表示服务器遇到了某个错误)。
(7)日志记录的第七项表示发送客户端的总字节数。它告诉我们传输是否被打断(即该数值是否和文件的大小相同)
二、配置访问日志
访问日志文件的位置实际上是一个配置选项。如果我们检查(/../apache/conf/httpd-linux.conf)httpd.com配置文件,可以看到该文件中有如下这行内容:
CustomLog /usr/local/apache/logs/access_log common
CustomLog指令指定了保存日志文件的具体位置以及日志格式,自从有了web服务器开始,common格式就是它的标准格式,由此我们也可以理解,虽然几乎不再有任何客户程序向服务器提供用户的标志信息,但访问日志却还保留着第二项内容。CustomLog指令中的路径是日志文件的路径。
三、错误日志
错误日志和访问日志一样也是Apache的标准日志。
错误日志无论在格式上还是内容上都和访问日志不同。然而,错误日志和访问日志一样也提供丰富的信息,我们可以利用这些信息分析服务器的运行情况,哪里出了问题。
错误日志的文件名是error_log,,错误日志的位置可以通过ErrorLog指令设置:
ErrorLog logs/error.log
正如名字所示,错误日志记录了服务器运行期间遇到的各种错误,以及一些普通的诊断信息,比如服务器何时启动、何时关闭等。
我们可以设置日志文件记录信息级别的高低,控制日志文件记录信息的数量和类型。这是通过LoglLevel指令设置的。该指令默认设置的级别是error,即记录称得上错误的事件。
大多数情况下,我们在日志文件中见到内容分属于两类:文档错误和CGI错误。但是错误日志中偶尔也会出现配置错误,另外还有前面提到的服务器启动和关闭信息。
文档错误:
文档错误和服务器应答中的404系类代码相对应,最常见的就是404错误(Document Not Fuond),除了404错误以外,用户身份验证错误也是一种常见的错误。
404错误在用户请求资源(URL)不存在时出现,它可能由于用户输入错的URL错误,或者由于服务器上原来存在的文档因故被删除或移动。当用户不能打开服务器上的文档时,错误日志中出现记录如下:
[Fri Aug 18 22:36:26 2000] [error]
[client 192.168.1.6] File does not exist:
/usr/local/apache/bugletdocs/Img/south-korea.gif
可以看到,正如访问日志access_log文件一样,错误日志记录也分为多项。
(1)错误记录的开头是日期/时间标记,注意它们的格式和access_log中日期/时间格式不同。
(2)错误日志的第二项是当前记录的级别,它表明了问题的严重程度。这个级别信息可能是LogLevel指令的文档中所列出的任一级别,error级别处于warn级别和crit级别之间。404属于error级别,这个级别表示确实遇到了问题,但是服务器还可以运行。
(3)错误记录的第三项表示用户发出请求时所用的IP地址
(4)记录的最后一项才是真正的错误信息。对于404错误,它还给出了完整路径指示服务器试图访问的文件。当我们料想到某个文件应该在目标位置却出现了404错误,这个信息是非常有用的。此时产生这种错误的原因往往是由于服务器配置错误、文件实际所处的虚拟主机和我们料想的不同,或者其他一些意料不到的情况。
CGI错误:
错误日志最主要的用途或许是诊断行为异常的CGI程序。为了进一步分析和处理方便,CGI程序输出到STDERR(Standard Error,标准错误设备)的所有内容都将直接进入错误日志。这意味着,任何编写良好的CGI程序,如果出现问题,错误日志就会告诉我们有关问题的详细信息。
四 、查看日志文件
Tail –f /../error_log
该命令将显示出日志文件的最后几行内容,如果有新的内容加入到日志文件,它还会立即显示出新加入的内容。
五、定制日志
1、定义日志格式
很久以前,日志文件只有一种格式(common)。有时候我们血药定制Apache默认日志的格式和内容,比如增加或者减少日志所记录的信息、改变默认日志文件的格式等。定制日志格式设计到两个指令,即LogFormat和CustomLog指令,默认httpd.conf文件提供了关于这两个指令的几个示例。
LogFormat指令定义格式并未格式指定一个名字,以后我们就可以直接饮用这个名字。CustomLog指令设置日志文件,并指明日志文件所用的格式(通常通过格式的名字)。
LogFormat指令的功能是定义日志格式并为它指定一个名字。例如在默认的httpd.conf文件中,我们可以找到下面这行代码:
LogFormat "%h %l %u %t "%r" %>s %b" common
该行指令创建了一种名为“common”的日志格式,日志的格式在双引号包围的内容中指定。格式字符串中的每个变量代表着一项特定的信息,这些信息按照格式串规定的次序写入到日志文件。
Apache日志格式串的变量及其含义:
-------------------------------------------------------------------------------
- %...a: 远程IP地址
- %...A: 本地IP地址
- %...B: 已发送的字节数,不包含HTTP头
- %...b: CLF格式的已发送字节数量,不包含HTTP头。
- 例如当没有发送数据时,写入‘-’而不是0。
- %e: 环境变量FOOBAR的内容
- %...f: 文件名字
- %...h: 远程主机
- %...H 请求的协议
- %i: Foobar的内容,发送给服务器的请求的标头行。
- %...l: 远程登录名字(来自identd,如提供的话)
- %...m 请求的方法
- %n: 来自另外一个模块的注解“Foobar”的内容
- %o: Foobar的内容,应答的标头行
- %...p: 服务器响应请求时使用的端口
- %...P: 响应请求的子进程ID。
- %...q 查询字符串(如果存在查询字符串,则包含“?”后面的
- 部分;否则,它是一个空字符串。)
- %...r: 请求的第一行
- %...s: 状态。对于进行内部重定向的请求,这是指*原来*请求
- 的状态。如果用%...>s,则是指后来的请求。
- %...t: 以公共日志时间格式表示的时间(或称为标准英文格式)
- %t: 以指定格式format表示的时间
- %...T: 为响应请求而耗费的时间,以秒计
- %...u: 远程用户(来自auth;如果返回状态(%s)是401则可能是伪造的)
- %...U: 用户所请求的URL路径
- %...v: 响应请求的服务器的ServerName
- %...V: 依照UseCanonicalName设置得到的服务器名字
在所有上面列出的变量中,“…”表示一个可选的条件。如果没有指定条件,则变量的值将以“-”取代。分析前面来自默认httpd.conf文件的LogFormat指令示例,可以看出它创建了一种名为“common”的日志格式,其中包括:远程主机、远程登录名字、远程用户、请求时间、请求的第一行代码、请求状态,以及发送的字节数(LogFormat "%h %l %u %t "%r" %>s %b" common)
有时候我们只想在日志中记录某些特定的、已定义的信息,这时就要用到”…”。如果在“%”和变量之间放入了一个或者多个HTTP状态代码,则只有当请求返回的状态属于指定的状态代码之一时,变量所代表的内容才会被记录。