Может ли кто-нибудь помочь мне с интерпретацией журнала сервера?

Question

Я знаю, как выглядит стандартный журнал сервера. Однако иногда я получаю журналы, которые немного меня смущают (я анализирую статистические данные).

Например:

WWW-phalcon2 66.249.78.168 - [20/февраля/2015: 23: 59: 59 +0100] 200 3251 4,69 0,001 192.168.64.125 3557 «GET /style/products.css? 1414645533 HTTP/1.1 "" - "" - "" Mozilla/5.0 (совместимый; Googlebot/2.1; + http://www.google.com/bot.html) "

Первый IP принадлежит клиенту. Но как насчет других? Что означает «www.phalcon2» (в общем)? А также, каковы два значения после количества переданных байтов?

Я уверен, что это легко интерпретировать такие журналы, но я провел исследование в Интернете и не нашел ответа. Благодарим за помощь!

Answer 1

Это похоже на совместимый с W3C журнал и является довольно стандартным. Интересная вещь о форматах W3C заключается в том, что у них есть заголовок, где каждой строке предшествует символ #. В верхней части файла будет выглядеть примерно так:

#Version: 1.0 
#Date: 12-Jan-1996 00:00:00 
#Fields: time cs-method cs-uri 

Если вы можете найти Splunk для строки, начинающейся с # (вы, возможно, придешься искать по всему времени) с тем же типом источника в качестве примера, то вы могли бы найти определение. Без этого определения вы не сможете разобрать этот журнал.

Альтернативой является использование формата пользовательского журнала Apache (который обычно не имеет заголовка). В этом случае вам нужно запросить конфигурацию LogFormat или CustomLog - это предоставит вам строку, называемую строкой формата - в основном, серию из% элементов, которые вместе представляют формат. Вы можете найти a list of all the format specifiers here.

Я собираюсь угадать, что десятичные числа - это время, затраченное на создание запроса в обе секунды (% T - округленное) и микросекунды (% D - больше точности). Однако это предположение основано на том, что обычно доступно в библиотеках протоколирования - без информации о конфигурации или заголовке, вы не можете сказать.