Apache 日志分类及作用

12088阅读 0评论2010-07-27 dongyue91
分类:服务器与存储

日志的种类

Apache 的标准中规定了4类日志:

    *
      错误日志
    *
      访问日志
    *
      传输日志
    *
      Cookie日志

其中:传输日志和Cookie日志被Apache 2.0认为已经过时。所以本节仅仅讨论错误日志和访问日志。同时错误日志和访问日志被Apache 2.0默认设置。
能从日志中获取哪些信息

    *
      访问日志
          o
            访问服务器的远程机器的地址:可以得知浏览者来自何方
          o
            浏览者访问的资源:可以得知网站中的哪些部分最受欢迎
          o
            浏览者的浏览时间:可以从浏览时间(如工作时间或休闲时间)对网站内容进行调整
          o
            浏览者使用的浏览器:可以根据大多数浏览者使用的浏览器对站点进行优化
    *
      错误日志
          o
            获知失效链接
          o
            获知 CGI 错误
          o
            获知用户认证错误

配置错误日志

错误日志记录了服务器运行期间遇到的各种错误,以及一些普通的诊断信息,比如服务器何时启动、何时关闭等。
错误日志配置指令
ErrorLog

ErrorLog 指令指定了当服务器遇到错误时记录错误日志的文件名。其格式为:

格式1:ErrorLog 错误日志文件名
格式2:ErrorLog "|管道程序名"

格式1直接指定错误日志文件名,除非文件位置用”/“开头,否则 ErrorLog 所制定的文件位置是相对于 ServerRoot 目录的相对路径。

格式2实现管道日志,它指定一个命令来处理错误日志。
Apache 编译时默认的错误日志可以使用如下命令获得:

$ apache2 -V| grep DEFAULT_ERRORLOG
 -D DEFAULT_ERRORLOG="logs/error_log"

LogLevel

LogLevel 用于调整记于错误日志中的信息的详细程度。其格式为:

LogLevel 错误日志记录等级

下面着重说说日志记录等级:
紧急程度     等级     说明
1     emerg     出现紧急情况使得该系统不可用,如系统宕机等
2     alert     需要立即引起注意的情况
3     crit     危险情况的警告
4     error     除了emerg、alert、crit的其他错误
5     warn     警告信息
6     notice     需要引起注意的情况,但不如error、warn重要
7     info     值得报告的一般消息
8     debug     由运行于debug模式的程序所产生的消息

如果指定了等级 warn,那么就记录紧急程度为1至5的所有错误信息。
Ubuntu 中 Apache 的错误日志配置

配置错误日志相对简单,只要说明日志文件的存放路径和错误日志记录等级即可。

从 Ubuntu 中的 /etc/apache2/apache2.conf 中可知,默认的错误日志存放在 /var/log/apache2/error.log

ErrorLog /var/log/apache2/error.log
LogLevel warn

您可以在 /etc/apache2/apache2.conf 中设置错误日志记录等级,也可以在相应的虚拟主机的配置文件中设置。
错误日志文件举例

下面是一个错误日志文件的截取。

$ sudo tac /var/log/apache2/error.log
[Wed Jun 20 14:53:15 2007] [error] [client 192.168.0.66] File does not exist: /usr/share/phpmyadmin/favicon.ico
[Wed Jun 20 11:12:50 2007] [notice] Apache/2.0.55 (Ubuntu) DAV/2 SVN/1.3.1 mod_python/3.1.4 Python/2.4.3 PHP/5.1.2 configured -- resuming normal operations
[Wed Jun 20 11:12:49 2007] [notice] Digest: done
[Wed Jun 20 11:12:49 2007] [notice] Digest: generating secret for digest authentication ...
[Wed Jun 20 09:22:22 2007] [notice] caught SIGTERM, shutting down

从文件内容可以看出,每一行记录了一个错误。格式为:

日期和时间   错误等级   错误消息

配置访问日志
CustomLog

CustomLog 指令用来对服务器的请求进行日志记录。格式为:

格式1:CustomLog 访问日志文件名 记录格式说明串|格式昵称
格式2:CustomLog "|管道程序名 访问日志文件名" 记录格式说明串|格式昵称

其中:

   1.
      访问日志文件名:除非文件位置用”/“开头,否则所制定的文件位置是相对于 ServerRoot 目录的相对路径
   2.
      格式昵称:使用 LogFormat 指令将一个记录格式说明串赋以一个名称
   3.
      记录格式说明串:用字符串和格式说明符(以%开头)指定日志记录的内容
   4.
      管道程序名:管道符”|”后面紧跟着一个程序的路径,这个程序把日志从标准输入设备中读入并处理。

在 Ubuntu 的 Apache 默认配置中并没有使用 CustomLog 设置访问日志,若您希望记录访问日志,您需要在虚拟主机的配置文件中分别设置,例如:在 /etc/apache2/sites-available/default 中有如下的设置:

 CustomLog /var/log/apache2/access.log combined

LogFormat

为了便于分析 Apache 的访问日志,Apache 的默认配置文件中,按记录的信息不同(用不同格式昵称说明不同的信息)将访问日志分为4类,并由 LogFormat 指令定义了昵称,如表所示。
格式分类     格式昵称     说明
普通日志格式(common log format,CLF)     common     大多数日志分析软件都支持这种格式
参考日志格式(referer log format)     referer     记录客户访问站点的用户身份
代理日志格式(agent log format)     agent     记录请求的用户代理
综合日志格式(combined log format)     combined     结合以上三种日志信息

LogFormat 指令用于定义访问日志的记录格式。格式为:

LogFormat "记录格式说明串" 格式昵称

从 /etc/apache2/apache2.conf 中可知,在 Ubuntu 的 Apache 中定义了下面的 4 种类型的访问日志:

LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

由于综合日志格式简单地结合了3种日志信息,所以在配置访问日志时,要么使用一个综合文件进行记录,要么使用分离的多个(1-3)文件记录。通常使用一个综合日志格式文件进行记录,配置为:

CustomLog /var/log/apache2/access.log combined

若使用3个文件分别进行记录,配置为:

CustomLog /var/log/apache2/access.log common
CustomLog /var/log/apache2/referer.log referer
CustomLog /var/log/apache2/agent.log agent

下面的指令组:

LogFormat "%h %l %u %t \"%r\" %>s %b" common
CustomLog logs/access_log common

与下面的指令等效:

CustomLog logs/access_log "%h %l %u %t \"%r\" %>s %b"

通常我们配置访问日志时,使用先使用 LogFormat 指令定义格式昵称,然后再在 CustomLog 指令中引用昵称的方法。
格式说明符

在使用 LogFormat 和 CustomLog 指令中为了说明要记录的日志内容,可以使用的常用格式说明符如下表。
格式说明符     说明
%v     进行服务的服务器的标准名字 ServerName,通常用于虚拟主机的日志记录中。
%h     客户机的 IP 地址。
%l     从identd服务器中获取远程登录名称,基本已废弃。
%u     来自于认证的远程用户。
%t     连接的日期和时间。
%r     HTTP请求的首行信息,典型格式是“METHOD RESOURCE PROTOCOL”,即“方法 资源 协议”。经常可能出现的 METHOD 是 GET、POST 和 HEAD;RESOURCE 是指浏览者向服务器请求的文档或 URL;PROTOCOL 通常是HTTP,后面再加上版本号,通常是 HTTP/1.1。
%>s     响应请求的状态代码,一般这项的值是 200,表示服务器已经成功地响应浏览器的请求,一切正常;以 3 开头的状态代码表示由于各种不同的原因用户请求被重定向到了其他位置;以 4 开头的状态代码表示客户端存在某种错误;以 5 开头的状态代码表示服务器遇到了某个错误。
%b     传送的字节数(不包含HTTP头信息),将日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。
%{Referer}i     记录引用此资源的网页。
%U     请求的URL路径,不包含查询串。
%{User-Agent}i     使用的浏览器信息。
访问日志文件举例

下面是从一个访问日志文件中截取的 3 条记录。

$ sudo tac /var/log/apache2/access.log
192.168.0.66 - - [21/Jun/2007:22:07:58 +0800] "GET /index.html HTTP/1.1" 200 1185 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)"
192.168.0.77 - - [19/Jun/2007:21:03:33 +0800] "GET /manual/style/manual.css HTTP/1.1" 404 1203 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"
192.168.0.66 - - [19/Jun/2007:19:21:55 +0800] "GET /dokuwiki/lib/exe/css.php?s=print HTTP/1.1" 304 - "" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.12) Gecko/20070508 Firefox/1.5.0.12"

将各项信息分离于下表所示。
格式说明符     举例1     举例2     举例3
%h     192.168.0.66     192.168.1.77     192.168.0.66
%l     -(表示没有取得信息)     -     -
%u     -     -     -
%t     [21/Jun/2007:22:07:58 +0800]     [19/Jun/2007:21:03:33 +0800]     [19/Jun/2007:19:21:55 +0800]
%r     “GET /index.html HTTP/1.1”     “GET /manual/style/manual.css HTTP/1.1”     “GET /dokuwiki/lib/exe/css.php?s=print HTTP/1.1”
%>s     200     404     304
%b     1185     1203     -
%{Referer}i     ”-”     “”     “”
%{User-Agent}i     “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)”     “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)”     “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.12) Gecko/20070508 Firefox/1.5.0.12”
由于整个格式说明字符串是放在”“之内的,所以若要输出的日志信息内含有引号,需要将”前加转义符\。例如:若要输出子串”GET /apache_pb.gif HTTP/1.0”,则格式字符串为\”%r\”。
上一篇:GOOGLE地图API使用
下一篇:Apache 日志过滤方法