Web服务器日志分析.pptVIP

Web服务器日志分析刘培顺

提纲APACHE日志分析IIS日志分析

APACEH日志分析web服务器日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对日志进行统计、分析和综合，就能有效地掌握服务器的运行状况、发现和排除错误原因、了解客户访问分布等，更好地加强系统的维护和管理。Web服务模式主要有三个步骤：服务请求，包含用户端的众多基本信息，如IP地址、浏览器类型、目标URL等。服务响应，Web服务器接收到请求后，按照用户要求运行相应的功能，并将信息返回给用户。如果出现错误，将返回错误代码。追加日志，服务器将对用户访问过程中的相关信息以追加的方式保存到日志文件中。

Apache日志的配置日志类型错误日志访问日志传输日志Cookie日志

日志内容错误日志包含获知失效链接获知CGI错误获知用户认证错误访问日志包含：访问服务器的远程机器的地址：可以得知浏览者来自何方浏览者访问的资源：可以得知网站中的哪些部分最受欢迎浏览者的浏览时间：可以从浏览时间(如工作时间或休闲时间)对网站内容进行调整浏览者使用的浏览器：可以根据大多数浏览者使用的浏览器对站点进行优化

访问日志分类：为了便于分析Apache的访问日志，Apache的默认配置文件中，按记录的信息不同(用格式说明不同的信息)将访问日志分为4类：普通日志格式(commonlogformat,CLF)common大多数日志分析软件都支持这种格式参考日志格式(refererlogformat)referrer记录客户访问站点的用户身份代理日志格式(agentlogformat)agent记录请求的用户代理综合日志格式(combinedlogformat)combined结合以上三种日志信息

4种访问日志类型LogFormat%h%l%u%t\%r\%s%b\%{Referer}i\\%{User-Agent}i\combinedLogFormat%h%l%u%t\%r\%s%bcommonLogFormat%{Referer}i-%UrefererLogFormat%{User-agent}iagent

综合日志由于综合日志格式简单地结合了3种日志信息，所以在配置访问日志时，要么使用一个综合文件进行记录，要么使用分离的多个(1-3)文件记录。通常使用一个综合日志格式文件进行记录，配置为：CustomLog/var/log/apache2/access.logcombined

日志文件若使用3个文件分别进行记录，配置为：CustomLog/var/log/apache2/access.logcommonCustomLog/var/log/apache2/referer.logrefererCustomLog/var/log/apache2/agent.logagent

日志格式说明%v进行服务的服务器的标准名字ServerName，通常用于虚拟主机的日志记录中。%h客户机的IP地址。%l从identd服务器中获取远程登录名称，基本已废弃。%u来自于认证的远程用户。%t连接的日期和时间。

日志格式说明%rHTTP请求的首行信息，典型格式是METHODRESOURCEPROTOCOL”，即“方法资源协议”。经常可能出现的METHOD是GET、POST和HEAD；RESOURCE是指浏览者向服务器请求的文档或URL；PROTOCOL通常是HTTP，后面再加上版本号，通常是HTTP/1.1。

日志格式说明%s响应请求的状态代码，一般这项的值是200，表示服务器已经成功地响应浏览器的请求，一切正常；以3开头的状态代码表示由于各种不同的原因用户请求被重定向到了其他位置；以4开头的状态代码表示客户端

日志格式说明%b传送的字节数（不包含HTTP头信息），将日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。%{Referer}i指明了该请求是从被哪个网页提交过来的。%U请求的URL路径，不包含查询串\%{User-Agent}i\此项是客户浏览器提供的浏览器识别信息。

日志格式说明

日志格式说明

日志格式说明

日志格式说明

apache访问日志

配置错误日志错误日志记录了服务器运行期间遇到的各种错误，以及一些普通的诊断信息，比如服务器何时启动、何时关闭等。ErrorLog命令指定了当服务器遇到错