Apache的日志格式说明以及的设置
错误日志的设置
ErrorLog logs/error_log#日志的保存位置
LogLevel warn#日志的级别
显示的格式日下:
[Mon Oct1015:54:292005][error][client192.168.10.22]access to/download/failed,reason:user admin not allowed access
访问日志设置
日志的缺省格式有如下几种
LogFormat“%h%l%u%t“%r”%>s%b“%{Referer}i”“%{User-Agent}i”" combined
LogFormat“%h%l%u%t“%r”%>s%b”common#common为日志格式名称
LogFormat“%{Referer}i->%U”referer
LogFormat“%{User-agent}i”agent
CustomLog logs/access_log common
格式中的各个参数如下:
%h–客户端的ip地址或主机名
%l–The这是由客户端identd判断的RFC1413身份,输出中的符号“-”表示此处信息无效。
%u–由HTTP认证系统得到的访问该网页的客户名。有认证时才有效,输出中的符号“-”表示此处信息无效。
%t–服务器完成对请求的处理时的时间。
“%r”–引号中是客户发出的包含了许多有用信息的请求内容。
%>s–这个是服务器返回给客户端的状态码。
%b–最后这项是返回给客户端的不包括响应头的字节数。
“%{Referer}i”–此项指明了该请求是从被哪个网页提交过来的。
“%{User-Agent}i”–此项是客户浏览器提供的浏览器识别信息。
下面是一段访问日志的实例:
192.168.10.22-bearzhang[10/Oct/2005:16:53:06+0800]“GET/download/HTTP/1.1″2001228
192.168.10.22--[10/Oct/2005:16:53:06+0800]“GET/icons/blank.gif HTTP/1.1″304-
192.168.10.22--[10/Oct/2005:16:53:06+0800]“GET/icons/back.gif HTTP/1.1″304-
各参数的详细解释,请参阅:http://www.yhzhan.com
===========================================
在apache的配置文件httpd.conf里一般都有类似于LogFormat"%h%l%u%t\"%r\"%>s%b\"%{Referer}i\"\"%{User-Agent}i\"" common的日志记录格式设置,那么这种格式里的各个参数都代表什么意思呢,怎样设置才能完全掌握网站的访问情况呢?下面我就参数意思,简单说下。
请求本身的情况将通过在格式字符串中放置各种"%"转义符的方法来记录,它们在写入日志文件时,根据下表的定义进行转换:
%a远端IP地址
%A本机IP地址
%B除HTTP头以外传送的字节数
%b以CLF格式显示的除HTTP头以外传送的字节数,也就是当没有字节传送时显示’-'而不是0。
%{Foobar}C在请求中传送给服务端的cookieFoobar的内容。
%D服务器处理本请求所用时间,以微为单位。
%{FOOBAR}e环境变量FOOBAR的值
%f文件名
%h远端主机
%H请求使用的协议
%{Foobar}i发送到服务器的请求头Foobar:的内容。
%l远端登录名(由identd而来,如果支持的话),除非IdentityCheck设为"On",否则将得到一个"-"。
%m请求的方法
%{Foobar}n来自另一个模块的注解Foobar的内容。
%{Foobar}o应答头Foobar:的内容。
%p服务器服务于该请求的标准端口。
%P为本请求提供服务的子进程的PID。
%{format}P服务于该请求的PID或TID(线程ID),format的取值范围为:pid和tid(2.0.46及以后版本)以及hextid(需要APR1.2.0及以上版本)
%q查询字符串(若存在则由一个"?"引导,否则返回空串)
%r请求的第一行
%s状态。对于内部重定向的请求,这个状态指的是原始请求的状态,—%>s则指的是最后请求的状态。
%t时间,用普通日志时间格式(标准英语格式)
%{format}t时间,用strftime(3)指定的格式表示的时间。(默认情况下按本地化格式)
%T处理完请求所花时间,以秒为单位。
%u远程用户名(根据验证信息而来;如果返回status(%s)为401,可能是假的)
%U请求的URL路径,不包含查询字符串。
%v对该请求提供服务的标准ServerName。
%V根据UseCanonicalName指令设定的服务器名称。
%X请求完成时的连接状态:X=连接在应答完成前中断。
+=应答传送完后继续保持连接。
-=应答传送完后关闭连接。
(在1.3以后的版本中,这个指令是%c,但这样就和过去的SSL语法:%{var}c冲突了)
%I接收的字节数,包括请求头的数据,并且不能为零。要使用这个指令你必须启用mod_logio模块。
%O发送的字节数,包括请求头的数据,并且不能为零。要使用这个指令你必须启用mod_logio模块。
修饰符
可以紧跟在"%"后面加上一个逗号分隔的状态码列表来限制记录的条目。例如,"%400,501{User-agent}i"只记录状态码400和501发生时的User-agent头内容;不满足条件时用"-"代替。状态码前还可以加上"!"前缀表示否定,"%!200,304,302{Referer}i"记录所有不同于200,304,302的状态码发生时的Referer头内容。
"<"和">"修饰符可以用来指定对于已被内部重定向的请求是选择原始的请求还是选择最终的请求。默认情况下,%s,%U,%T,%D,%r使用原始请求,而所有其他格式串则选择最终请求。例如,%>s可以用于记录请求的最终状态,而%<u则记录一个已经被内部重定向到非认证资源的请求的原始认证用户。
一些说明
出于安全考虑,从2.0.46版本开始,%r,%i,%o中的特殊字符,除了双引号(")和反斜线(\)分别用\"和\\进行转义、空白字符用C风格(\n,\t等)进行转义以外,非打印字符和其它特殊字符使用\xhh格式进行转义(hh是该字符的16进制编码)。在2.0.46以前的版本中,这些内容会被完整的按原样记录。这种做法将导致客户端可以在日志中插入控制字符,所以你在处理这些日志文件的时候要特别小心。
在2.0版本中(不同于1.3),%b和%B格式字符串并不表示发送到客户端的字节数,而只是简单的表示HTTP应答字节数(在连接中断或使用SSL时与前者有所不同)。mod_logio提供的%O格式字符串将会记录发送的实际字节数。
示例
一些常见的格式串:
通用日志格式(CLF)
"%h%l%u%t\"%r\"%>s%b"
带虚拟主机的通用日志格式
"%v%h%l%u%t\"%r\"%>s%b"
NCSA扩展/组合日志格式
"%h%l%u%t\"%r\"%>s%b\"%{Referer}i\"\"%{User-agent}i\""
Referer日志格式
"%{Referer}i->%U"
Agent(Browser)日志格式
"%{User-agent}i"
文章开头提到的LogFormat"%h%l%u%t\"%r\"%>s%b\"%{Referer}i\"\"%{User-Agent}i\"" common中间用""包含的参数都可以在上面找到对应的说明,至于最后的那个common,其实就是这种格式的一种标识符,当你套用这种格式记录日志的时候,就可以直接使用标识符了,例如:
CustomLog logs/access_log common
就会在logs下面产生一个以common为格式记录的日志文件access_log