要有效地管理Web服务器，就有必须了解服务器的状态、性能以及出现的问题。Apache提供了非常全面而灵活的日志记录功能。本文将阐述如何配置文件以及如何理解日志内容。

1.使用combined获取更详细的日志

编辑httpd.conf文件（下面几乎都是更改这个文件），搜索CustomLog
CustomLog logs/access_log combined
用这个格式不会有什么损失，而且还能获得一些额外的信息（referer和user-agent）。

2.让错误信息更全面

通过定义loglevel来实现
搜索LogLevel

日志级别如下。（debug产生的信息最多。emerg产生的信息最少）

3.记录以POST方式传送的数据

使用mod_secutiry,增加如下配置
SecAuditLogType Concurrent
SecAuditLogStorageDir /var/www/audit_log/data/
SecAuditLog /var/www/audit_log/index
SecAuditLogParts ABCFHZ
注：
post方式与get方式
1、采用post方式传输数据时,不需要在URL中显示出来,而get方式要在URL当中进行显示(不安全性).
2、post方式的传输数据量较大,理论上来说是没有限制的,而get方式由于受到UEL长度的限制,只能传递GET方式提交的数据最多只能有1024字节.
3、post顾名思义,就是为了将数据传送到服务器端,Get就是为了从服务器端取得数据.而Get之所以也能传送数据,只是用来设计告诉服务器,你到底需要什么样的数据.post的信息作为http请求的内容，而Get是在Http头部传输的。
我们的form表单的method方法，post,get.它在页面传值的时候的区别也就是上面提到的三点.

4.记录cookie

记录从客户端收到的cookie

CustomLog logs/cookies_in.log “%{UNIQUE_ID}e %{Cookie}i”
CustomLog logs/cookies2_in.log “%{UNIQUE_ID}e %{Cookie2}i”

记录由服务器发送的cookie

CustomLog logs/cookies_out.log “%{UNIQUE_ID}e %{Set-Cookie}o”
CustomLog logs/cookies2_out.log “%{UNIQUE_ID}e %{Set-Cookie2}o”
注：本方法记录所有的cookie ，如何区分是个问题。我只在实验的时候用，真实生产环境用的不多。
cookie与Set-cookie标头字段是最常用到的。cookie2与set-cookie对应的字段比较新。

5.忽略来自本站的请求

追踪盗链的时候比较有用。
定义后缀
SetEnvIfNoCase Referer “^http://www.example.com/” 你的网站 local_referrer=1

CustomLog logs/access_log combined env=!local_referrer

注：SetEnvIfNoCase与SetEnvIf相同，但是前者无视大小写。

6.按时间生产日志

有时需要间隔N小时生产一次日志。

CustomLog “| /path/to/rotatelogs /path/to/logs/access_log.%Y-%m-%d 86400″ combined

注：使用了CustomLog和rotatelogs （red hat默认就有）。
使用秒来控制间隔时间。

7.在每月的第一天更新日志文件

在每月的第一天结束上个月的日志文件，同时开始新的记录。

CustomLog "|/usr/bin/cronolog /www/logs/access%Y%m.log" combined

注：需要使用cronolog，十分好用的工具，下载地址请google之。

8.为虚拟主机建立各自的日志

首先，需要将虚拟主机的信息放入日志中。

LogFormat “%v %h %l %u %t \”%r\” %>s %b” vhost
CustomLog logs/multiple_vhost_log vhost

这将用日志的普通格式来创建一个日志文件。但会在每条记录前加上正式的虚拟主机名(就是在ServerName指令中定义的那个)。
现在将日志文件分开(每个虚拟主机一个日志文件)

split-logfile < /logs/multiple_vhost_log

注：split-logfile不是自动安装的，而是在配置过程以后，装在”support”目录下的
附表

9.记录响应请求的ip地址

当服务器有多个ip时想知道是哪个ip响应了请求。

CustomLog logs/served-by.log “%A”

10.记录访客来源

知己知彼，了解访客是从哪个网站过来的。

%{Referer}i

注：默认已经包含在logformat

11.记录访客使用的浏览器

%{User-Agent}i

注：默认已经包含在logformat

12.使用syslog记录apache日志

第一步：配置syslog
/etc/syslog.conf是syslog的配置文件。
里面的每一行都用一个或者多个空格或者TAB隔开，分成两个段
如：
mail.info /var/log/maillog
意思是把日志对象mail的info级别及以上级别的日志记录到/var/log/maillog中去
在这里，前面一段是 : 日志对象.日志级别。后面一段是:日志的记录位置，这个位置可以是文件(如/var/log/maillog)，可以是某个TTY（如/dev/tty1）可以是某个登录的用户的控制台 （如用户名jean）也可以是当前所有的下在登录的用户所在的控制台（用＊号表示所有用户）还可以是一台远程的主机（@remote_host_ip）
现在加入这一行

local0.info /var/log/apache.log

然后重新启动syslog。service syslog restart
第二步
在apache配置中加入

CustomLog “|logger -t apache -p local0.info” combined

补充

HTTP状态码

相关文章

• 2009年02月26号 -- Apache日志文件（配置和管理）
• 2009年02月25号 -- 网站服务器(Apache)的日志与监视
• 2009年02月25号 -- 查询并禁止apache中异常访问量的用户
• 2009年03月9号 -- 通过SNMP协议来监视Apache服务器
• 2009年03月9号 -- 监视并记录Apache网站服务器的运行
• 2009年02月11号 -- 实时跟踪log变化的工具Apachetop
• 2009年02月10号 -- 让Apache按日期保存日志数据

任何人只要对Apache存放日志文件的目录具有写权限，也就当然地可以获得启动Apache的用户(通常是root)的权限，绝对不要随意给予任何人存放日志文件目录的写权限。

2.错误日志(Error Log)

Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误，由于这里经常包含了出错细节以及如何解决，如果服务器启动或运行中有问题，首先就应该查看这个错误日志

错误日志通常被写入一个文件(unix系统上一般是error_log ，Windows和OS/2上一般是error.log)。在unix系统中，错误日志还可能被重定向到syslog或通过管道操作传递给一个程序。

3.访问日志(Access Log)

记录服务器所处理的所有请求，其文件名和位置取决于CustomLog指令，LogFormat指令可以简化日志的内容。

不同版本的Apache httpd使用了不同的模块和指令来控制对访问的记录，包括mod_log_referer, mod_log_agent和TransferLog指令。现在，CustomLog指令包含了旧版本中相关指令的所有功能。

通用日志格式(Common Log Format)，下面是一个典型的记录格式：
LogFormat “%h %l %u %t \\”%r\\” %>s %b” common
CustomLog logs/access_log common
它定义了一种特定的记录格式字符串，并给它起了个别名叫common ，其中的”%”指示服务器用某种信息替换，其他字符则不作替换。引号(”)必须加反斜杠转义，以避免被解释为字符串的结束。格式字符串还可以包含特殊的控制符，如换行符”\\n” 、制表符”\\t”。
CustomLog指令建立一个使用指定别名的新日志文件，除非其文件名是以斜杠开头的绝对路径，否则其路径就是相对于ServerRoot的相对路径。

组合日志格式(Combined Log Format)，形式如下：
LogFormat “%h %l %u %t \\”%r\\” %>s %b \\”%{Referer}i\\” \\”%{User-agent}i\\”” combined
CustomLog log/access_log combined
这种格式与通用日志格式类似，但是多了两个 %{header}i 项，其中的header可以是任何请求头。

多文件访问日志：
可以简单地在配置文件中用多个CustomLog指令来建立多文件访问日志。如下例，既记录基本的CLF信息，又记录提交网页和浏览器的信息，最后两行CustomLog示范了如何模拟ReferLog和AgentLog指令的效果。
LogFormat “%h %l %u %t \\”%r\\” %>s %b” common
CustomLog logs/access_log common
CustomLog logs/referer_log “%{Referer}i -> %U”
CustomLog logs/agent_log “%{User-agent}i”
此例也说明了，记录格式可以直接由CustomLog指定，而并不一定要用LogFormat起一个别名。

条件日志：
许多时候，根据与请求特征相关的环境变量来有选择地记录某些客户端请求会带来便利。首先，需要使用SetEnvIf指令来设置特定的环境变量以标识符合某种特定条件的请求，然后用CustomLog指令的 env= 子句，根据这些环境变量来决定记录或排除特定的请求。例如：
# 不记录本机发出的请求
SetEnvIf Remote_Addr “127\\.0\\.0\\.1″ dontlog
# 不记录对robots.txt文件的请求
SetEnvIf Request_URI “^/robots\\.txt$” dontlog
# 记录其他请求
CustomLog logs/access_log common env=!dontlog

4.日志滚动

由于Apache会保持日志文件的打开，并持续写入信息，因此服务器运行期间不能执行滚动操作。移动或者删除日志文件以后，必须重新启动服务器才能让它打开新的日志文件。

用优雅的(graceful)方法重新启动，可以使服务器启用新的日志文件，而不丢失原来尚未写入的信息。为此，有必要等待一段时间，让服务器完成正在处理的请求，并将记录写入到原来的日志文件。以下是一个典型的日志滚动和为节省存储空间而压缩旧日志的例子：
mv access_log access_log.old
mv error_log error_log.old
apachectl graceful
sleep 600
gzip access_log.old error_log.old

5.管道日志

Apache httpd可以通过管道将访问记录和出错信息传递给另一个进程，而不是写入一个文件，由于无须对主服务器进行编程，这个功能显著地增强了日志的灵活性。只要用管道操作符”|”后面跟一个可执行文件名，就可以使这个程序从标准输入设备获得事件记录。Apache在启动时，会同时启动这个管道日志进程，并且在运行过程中，如果这个进程崩溃了，会重新启动这个进程(所以我们称这个技术为”可靠管道日志”)。

管道日志进程由其父进程Apache httpd产生，并继承其权限，这意味着管道进程通常是作为root运行的，所以保持这个程序简单而安全极为重要。（yes）

管道日志的一种重要用途是，允许日志滚动而无须重新启动服务器。为此，服务器提供了一个简单的程序rotatelogs 。每24小时滚动一次日志的例子如下：
CustomLog “|/usr/local/apache/bin/rotatelogs /var/log/access_log 86400″ common
注意：引号用于界定整个管道命令行。虽然这是针对访问日志的，但是其用法对于其他日志也一样。

在其他站点，有一个类似但更灵活的日志滚动程序叫cronolog 。

如果有较简单的离线处理日志的方案，就不应该使用条件日志和管道日志，即使它们非常强大。

6.虚拟主机日志

如果服务器配有若干虚拟主机，那么还有几个控制日志文件的功能。首先，可以把日志指令放在<VirtualHost>段之外，让它们与主服务器使用同一个访问日志和错误日志来记录所有的请求和错误，但是这样就不能方便的获得每个虚拟主机的信息了。

如果把CustomLog或ErrorLog指令放在<VirtualHost>段内，所有对这个虚拟主机的请求和错误信息会被记录在其私有的日志文件中，那些没有在<VirtualHost>段内使用日志指令的虚拟主机将仍然和主服务器使用同一个日志。这种方法对虚拟主机较少的服务器很有用，但虚拟主机非常多时，就会带来管理上的困难，还经常会产生文件描述符短缺的问题。

7.其他日志文件
略。。。

相关文章

• 2009年06月1号 -- 玩转apache之日志
• 2009年02月25号 -- 网站服务器(Apache)的日志与监视
• 2009年02月25号 -- 查询并禁止apache中异常访问量的用户
• 2010年03月9号 -- Apache2中俩种设置PHP的异同
• 2009年03月9号 -- 通过SNMP协议来监视Apache服务器
• 2009年03月9号 -- 监视并记录Apache网站服务器的运行
• 2009年02月11号 -- 实时跟踪log变化的工具Apachetop
• 2009年02月10号 -- Apache高级配置中文详解
• 2009年02月10号 -- 让Apache按日期保存日志数据
• 2009年01月22号 -- Apache配置文件(httpd.conf)中文说明

Apache提供很多检测和日志工具来追踪服务器的正确运行。默认的Apache配置提供两个日志文件，放置在安装目录下的日志目录里面。access_log这个文件（在windows下对应access.log文件）包含了服务器已经处理过的请求的信息，比如说请求的URL，客户端的IP地址，请求是否被成功完成等。error_log 这个文件（在windows下对应error.log文件）包含了与错误情况相关的信息，以及服务器生命周期中不同的大事件。

创建日志格式

LogFormat “%h %l %u %t \”%r\” %>s %b” common
LogFormat “%h %l %u %t \”%r\” %>s %b”
\”%{Referer}i\” \”%{User-agent}i\”" combined

LogFormat指令允许你告诉Apache你想要记录请求的哪些方面。而你仍需附加的指令来告诉Apache在哪里记录那些信息，这在下一章中将会介绍。下面的例子显示了两种最受欢迎的格式的配置：普通日志格式和整合日志格式。当Apache收到一个请求，他将会用相应的请求属性来替代以%为前缀的每一个域。如果您正在使用普通日志格式，您的日志文件里的每一项输入看起来都将是这样的：

192.168.200.4 – someuser [12/Jun/2005:08:33:34
+0500] “GET /example.png HTTP/1.0″ 200 1234

如果您正在使用整合日志格式，您的日志文件里的每一项输入看起来则都将是这样的：

192.168.200.4 – someuser [12/Jun/2005:08:33:34
+0500] “GET /example.png HTTP/1.0″ 200 1234
http://www.example.com/index.html “Mozilla/5.0
(Windows; U; Windows NT 5.1; en-US; rv:1.7.7)”

尽管有附件提供日志格式的详尽索引，下表描述了一些最为重要的域：

# %h: 客户端（例如，浏览器）向服务器发出连接请求时自己的当时的IP地址或域名(需开启HostNameLookups)。
# %u: 使用HTTP方式认证用户时，记录下的用户的编号。
# %t: 服务器接受到连接请求的时间。
# %r: 客户端发出的原始连接请求中的文本信息，包含所使用的HTTP方法。
# %>s: 服务器应答浏览器后的返回状态代码，200表示请求成功。.
# %b: 服务器应答浏览器发出的单个请求的回传对象的内容大小（字节为单位），不统计数据包头部字节。
整合日志格式在普通日志格式的基础上扩展出了两个附加的域。定义为：
# %{Referer}i: 连接请求数据包包头，包含指向当前页面的文档关联信息。
# %{User-agent}i: 用户代理连接请求数据包包头，包含客户浏览器的信息。

创建一个自定义日志文件

CustomLog logs/access_log common
TransferLog logs/sample.log

您可能会想创建Apache自带以外的新的日志文件。下面的例子将运用CustomLog来创建一个新的日志文件，并保存由一个之前定义好的日志格式，即前一章提到的common，所定义的信息。您还可以用格式本身的定义来替换昵称。一个附加的，更为简单的指令是Transferlog，它只接受最后一个LogFormat指令提供的定义。

相关文章

• 2009年06月1号 -- 玩转apache之日志
• 2009年02月26号 -- Apache日志文件（配置和管理）
• 2009年02月25号 -- 查询并禁止apache中异常访问量的用户
• 2009年03月9号 -- 通过SNMP协议来监视Apache服务器
• 2009年03月9号 -- 监视并记录Apache网站服务器的运行
• 2009年02月11号 -- 实时跟踪log变化的工具Apachetop
• 2009年02月10号 -- 让Apache按日期保存日志数据

首先，更改apache的log方式，不记录一些图像、css等文件，这样在log中每一行基本上都能对应一次访问，如果不去除图像等文件的记录，正常用户访问一个页面，同时也会下载页面上的图像、css等文件，会产生多条log记录，影响计数的结果。在apache的conf文件中增加如下配置：

SetEnvIfNoCase Request_URI \.css$ useless-file
SetEnvIfNoCase Request_URI \.gif$ useless-file
SetEnvIfNoCase Request_URI \.ico$ useless-file
SetEnvIfNoCase Request_URI \.jpg$ useless-file
SetEnvIfNoCase Request_URI \.js$ useless-file
CustomLog logs/fwolf.com/access.log combined env=!useless-file

这样就可以了，关于SetEnvIf的其他用法，可以参见Apache文档中SetEnvIf和Environment Variables in Apache部分。

接下来，经过一段时间的运行，我们就可以分析log文件中访问量最大的用户了，只需要一条命令：

cat access.log |awk ‘{print $1}’| sort | uniq -c |sort -n

一点点的来看：

cat就不用说了；
awk的作用，就是把第一列，也就是客户端ip地址分拣出来；
第一个sort，是把分拣出来的ip地址排序，这样相同的ip地址会排在一起
uniq是一个去除重复值的工具，但是带上-c参数，就可以统计出每个值出现了多少次
最后的sort，把uniq产生的结果进行排序，按照-n这个参数的默认设置，最大的排在最下面。
所以，我们得到的结果应该是这样的：

……
2040 219.148.106.198
2047 218.12.78.14
2149 218.12.26.233
2205 121.28.4.34

第一列就是访问次数，第二列是ip地址，再回去对照log文件中的详细内容，如果发现哪个访问量大户是某某机器人的话，就可以禁止掉了，还是修改apache的conf文件：

<Directory />
    Order Deny,Allow
    Deny from 219.143.69.2
    Deny from 218.12.26.233
    Deny from 61.135.162.51
    Allow from all
</Directory>

如此反复监测、设置，直到没有人捣乱为止。

同理，如果想查看反复刷新查看某一页面的用户，可以用如下命令：

grep “GET /url/to/some/file” access.log |awk ‘{print $1}’ |sort |uniq -c |sort -n

相关文章

• 2009年06月1号 -- 玩转apache之日志
• 2009年02月26号 -- Apache日志文件（配置和管理）
• 2009年02月25号 -- 网站服务器(Apache)的日志与监视
• 2009年03月9号 -- 通过SNMP协议来监视Apache服务器
• 2009年03月9号 -- 监视并记录Apache网站服务器的运行
• 2009年02月11号 -- 实时跟踪log变化的工具Apachetop
• 2009年02月10号 -- 让Apache按日期保存日志数据

　　首先，看看怎么安装：

相关文章

• 2009年06月1号 -- 玩转apache之日志
• 2009年02月26号 -- Apache日志文件（配置和管理）
• 2009年02月25号 -- 网站服务器(Apache)的日志与监视
• 2009年02月25号 -- 查询并禁止apache中异常访问量的用户