<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"prefix="localhost_access_log." suffix=".txt"pattern="%h %l %u [%{yyyy-MM-dd HH:mm:ss}t] %{X-Real_IP}i "%r" %s %b %D %F" />
字段解释如下:
%h - 发起要求的客户端 IP 地址。这里记录的 IP 地址并不一定是真实用户客户机的 IP 地址,它可能是私网客户真个公网映射地址或代理做事器地址。%l - 客户机的 RFC 1413 标识 ( 参考 ) ,只有实现了 RFC 1413 规范的客户端,才能供应此信息。%u - 远程客户端用户名称,用于记录浏览者进行身份验证时供应的名字,如登录百度的用户名 zuozewei,如果没有登录便是空缺。%t - 收到要求的韶光(访问的韶光与时区,比如18/Jul/2018:17:00:01 +0800,韶光信息末了的 "+0800" 表示做事器所处时区位于 UTC 之后的8小时)%{X-Real_IP}i - 客户真个真实ip%r - 来自客户真个要求行(要求的 URI 和 HTTP 协议,这是全体 PV 日志记录中最有用的信息,记录做事器收到一个什么样的要求)%>s - 做事器返回客户真个状态码,比如成功是 200。%b - 发送给客户真个文件主体内容的大小,不包括相应头的大小(可以将日志每条记录中的这个值累加起来以粗略估计做事器吞吐量)%{Referer}i - 记录从哪个页面链接访问过来的(要求头Referer的内容 )%D - 处理要求的韶光,以毫秒为单位%F - 客户端浏览器信息提交相应的韶光,以毫秒为单位日志样例:
47.203.89.212 - - [19/Apr/2017:03:06:53 +0000] "GET / HTTP/1.1" 200 10599 50 49三、Nginx 统计要乞降后台做事相应韶光
利用默认 combined 的经典格式上扩展 response_time&upstream_response_time
nginx.conf 利用配置办法:
log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent $request_time $upstream_response_time "$http_referer" "$http_user_agent" "$http_x_forwarded_for"';
字段解释如下:
$remote_addr - 发起要求的客户端 IP 地址。这里记录的 IP 地址并不一定是真实用户客户机的 IP 地址,它可能是私网客户真个公网映射地址或代理做事器地址。$remote_user - 远程客户端用户名称,用于记录浏览者进行身份验证时供应的名字,如登录百度的用户名 zuozewei,如果没有登录便是空缺。[$time_local] - 收到要求的韶光(访问的韶光与时区,比如18/Jul/2018:17:00:01 +0800,韶光信息末了的 "+0800" 表示做事器所处时区位于 UTC 之后的8小时)“$request” - 来自客户真个要求行(要求的 URI 和 HTTP 协议,这是全体 PV 日志记录中最有用的信息,记录做事器收到一个什么样的要求)$status - 做事器返回客户真个状态码,比如成功是 200。$body_bytes_sent - 发送给客户真个文件主体内容的大小,不包括相应头的大小(可以将日志每条记录中的这个值累加起来以粗略估计做事器吞吐量)$request_time - 全体要求的总韶光,以秒为单位(包括吸收客户端要求数据的韶光、后端程序相应的韶光、发送相应数据给客户真个韶光(不包含写日志的韶光))$upstream_response_time - 要求过程中,upstream 的相应韶光,以秒为单位(向后端建立连接开始到接管完数据然后关闭连接为止的韶光)“$http_referer” - 记录从哪个页面链接访问过来的(要求头 Referer 的内容 )“$http_user_agent” - 客户端浏览器信息(要求头User-Agent的内容 )"$ http_x_forwarded_for"- 客户真个真实ip,常日web做事器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过 $remote_add拿到的IP地址是反向代理做事器的iP地址。反向代理做事器在转发要求的 http 头信息中,可以增加 x_forwarded_for 信息,用以记录原有客户真个IP地址和原来客户真个要求的做事器地址。日志示例:
218.56.42.148 - - [19/Apr/2017:01:58:04 +0000] "GET / HTTP/1.1" 200 0 0.023 - "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36" "-"四、AWK 简介1、基本观点
为了能理解 AWK 程序,我们下面概述其基本知识。
AWK 程序可以由一行或多行文本构成,个中核心部分是包含一个模式和动作的组合。
pattern { action }模式( pattern ) 用于匹配输入中的每行文本。对付匹配上的每行文本,awk 都实行对应的 动作( action )。模式和动作之间利用花括号隔开。awk 顺序扫描每一行文本,并利用 记录分隔符(一样平常是换行符)将读到的每一行作为 记录,利用 域分隔符( 一样平常是空格符或制表符 ) 将一行文本分割为多个 域, 每个域分别可以利用 2, … 表示。1 表示第一个域,表示第二个域,n 表示第 n 个域。 $0 表示全体记录。模式或动作都可以不指定,缺省模式的情形下,将匹配所有行。缺省动作的情形下,将实行动作 {print},即打印全体记录。
此处利用Nginx access.log 举例,Tomcat 日志自己举一反三。 利用 awk 分解出Nginx access日志中的信息
218.56.42.148 - - [19/Apr/2017:01:58:04 +0000] "GET / HTTP/1.1" 200 0 0.023 - "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36" "-"$0 便是全体记录行$1 便是访问 IP ”218.56.42.148”$4 便是要求韶光的前半部分 “[19/Apr/2017:01:58:04”$5 便是要求韶光的后半部分 “+0000]”以此类推…… 当我们利用默认的域分割符时,我们可以从日志中解析出下面不同类型的信息:
awk '{print $1}' access.log # IP 地址 ($remote_addr) awk '{print $3}' access.log # 用户名称 $remote_user) awk '{print $4,$5}' access.log # 日期和韶光 ([$time_local]) awk '{print $7}' access _log # URI ($request) awk '{print $9}' access _log # 状态码 ($status) awk '{print $10}' access _log # 相应大小 ($body_bytes_sent)awk '{print $11}' access _log # 要求韶光 ($request_time)awk '{print $12}' access _log # upstream相应韶光 ($upstream_response_time)我们不难创造,仅利用默认的域分隔符,未便利解析出要求行、引用页和浏览器类型等其他信息,由于这些信息之中包含不愿定个数的空格。 因此,我们须要把域分隔符修正为 “ ,就能够轻松读出这些信息。
awk -F\" '{print $2}' access.log # 要求行 ($request) awk -F\" '{print $4}' access.log # 引用页 ($http_referer)awk -F\" '{print $6}' access.log # 浏览器 ($http_user_agent)awk -F\" '{print $8}' access.log # 真实ip ($http_x_forwarded_for)把稳:这里为了避免 Linux Shell 误解 “ 为字符串开始,我们利用了反斜杠,转义了 “ 。 现在,我们已经节制了 awk 的基本知识,以及它是若何解析日志的。
2、利用场景举例此处利用Nginx access.log 举例,Tomcat 日志自己举一反三。
2.1、浏览器类型统计如果我们想知道那些类型的浏览器访问过网站,并按涌现的次数倒序排列,我可以利用下面的命令:
awk -F\" '{print $6}' access.log | sort | uniq -c | sort -fr此命令行首先解析出浏览器域,然后利用管道将输出作为第一个 sort 命令的输入。第一个 sort 命令紧张是为了方便 uniq 命令统计出不同浏览器涌现的次数。末了一个 sort 命令将把之前的统计结果倒序排列并输出。
2.2、创造系统存在的问题我们可以利用下面的命令行,统计做事器返回的状态码,创造系统可能存在的问题。
awk '{print $9}' access.log | sort | uniq -c | sort正常情形下,状态码 200 或 30x 该当是涌现次数最多的。40x 一样平常表示客户端访问问题。50x 一样平常表示做事器端问题。 下面是一些常见的状态码:
200 - 要求已成功,要求所希望的相应头或数据体将随此相应返回。206 - 做事器已经成功处理了部分 GET 要求301 - 被要求的资源已永久移动到新位置302 - 要求的资源现在临时从不同的 URI 相应要求400 - 缺点的要求。当前要求无法被做事器理解401 - 要求未授权,当前要求须要用户验证。403 - 禁止访问。做事器已经理解要求,但是谢绝实行它。404 - 文件不存在,资源在做事器上未被创造。500 - 做事器碰着了一个未曾预见的状况,导致了它无法完成对要求的处理。503 - 由于临时的做事器掩护或者过载,做事器当前无法处理要求。HTTP 协议状态码定义可以参阅: https://www.w3.org/Protocols/rfc2616/rfc2616.html
2.3、状态码干系统计查找并显示所有状态码为 404 的要求
awk '($9 ~ /404/)' access.log统计所有状态码为 404 的要求
awk '($9 ~ /404/)' access.log | awk '{print $9,$7}' | sort现在我们假设某个要求 ( 例如 : URI: /path/to/notfound ) 产生了大量的 404 缺点,我们可以通过下面的命令找到这个要求是来自于哪一个引用页,和来自于什么浏览器。
awk -F\" '($2 ~ "^GET /path/to/notfound "){print $4,$6}' access.log2.4、追查谁在盗链网站图片有时候会创造其他网站出于某种缘故原由,在他们的网站上利用保存在自己网站上的图片。如果您想知道究竟是谁未经授权利用自己网站上的图片,我们可以利用下面的命令:
awk -F\" '($2 ~ /\.(jpg|gif|png)/ && $4 !~ /^http:\/\/www\.example\.com/)\ {print $4}' access.log \ | sort | uniq -c | sort把稳:利用前,将 www.example.com 修正为自己网站的域名。
利用 ” 分解每一行;要求行中必须包括 “.jpg” 、”.gif” 或 ”.png”;引用页不因此您的网站域名字符串开始( 在此例中,即 www.example.com );显示出所有引用页,并统计涌现的次数。2.5、IP干系统计统计共有多少个不同的 IP 访问:
awk '{print $1}' access.log |sort|uniq|wc – l统计每一个 IP 访问了多少个页面:
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file将每个 IP 访问的页面数进行从小到大排序:
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n统计 2018 年 8 月 31 日 14 时内有多少 IP 访问 :
awk '{print $4,$1}' access.log | grep 31/Aug/2018:14 | awk '{print $2}'| sort | uniq | wc -l统计访问最多的前十个 IP 地址
awk '{print $1}' access.log |sort|uniq -c|sort -nr |head -10查看某一个 IP访问了哪些页面:
grep ^202.106.19.100 access.log | awk '{print $1,$7}'统计某个 IP 的详细访问情形,按访问频率排序
grep '202.106.19.100' access.log |awk '{print $7}'|sort |uniq -c |sort -rn |head -n 1002.6、相应页面大小干系统计列出传输大小最大的几个文件
cat access.log |awk '{print $10 " " $1 " " $4 " " $7}'|sort -nr|head -100列出输出大于 204800 byte ( 200kb) 的页面以及对应页面发生次数
cat access.log |awk '($10 > 200000){print $7}'|sort -n|uniq -c|sort -nr|head -100列出访问最频的页面(TOP100)
awk '{print $7}' access.log | sort |uniq -c | sort -rn | head -n 100列出访问最频的页面([打消php页面】(TOP100)
grep -v ".php" access.log | awk '{print $7}' | sort |uniq -c | sort -rn | head -n 100列出页面访问次数超过100次的页面
cat access.log | cut -d ' ' -f 7 | sort |uniq -c | awk '{if ($1 > 100) print $0}' | less列出最近1000条记录,访问量最高的页面
tail -1000 access.log |awk '{print $7}'|sort|uniq -c|sort -nr|less2.7、PV 干系统计统计每分钟的要求数,top100的韶光点(精确到分钟)
awk '{print $4}' access.log |cut -c 14-18|sort|uniq -c|sort -nr|head -n 100统计每小时的要求数,top100的韶光点(精确到小时)
awk '{print $4}' access.log |cut -c 14-15|sort|uniq -c|sort -nr|head -n 100统计每秒的要求数,top100的韶光点(精确到秒)
awk '{print $4}' access.log |cut -c 14-21|sort|uniq -c|sort -nr|head -n 100统计当天的 pv
grep "10/May/2018" access.log | wc -l解释:
awk ‘{ print $1}’:取数据的第1域(第1列)sort:对IP部分进行排序。uniq -c:打印每一重复行涌现的次数。(并去掉重复行)sort -nr -k1:按照重复行涌现的次序倒序排列,-k1以第一列为标准排序。head -n 10:取排在前10位的IP2.8、页面相应韶光干系统计可以利用下面的命令统计出所有相应韶光超过 3 秒的日志记录。
awk '($NF > 1){print $11}' access.logcat access.log|awk '($NF > 3){print $7}'把稳:NF 是当前记录中域的个数。$NF 即末了一个域。
列出php页面要求韶光超过3秒的页面,并统计其涌现的次数,显示前100条
cat access.log|awk '($NF > 1 && $7~/\.php/){print $7}'|sort -n|uniq -c|sort -nr|head -100列出相应韶光超过 5 秒的要求,显示前20条
awk '($NF > 1){print $11}' access.log | awk -F\" '{print $2}' |sort -n| uniq -c|sort -nr|head -202.9、蜘蛛抓取统计统计蜘蛛抓取次数
grep 'Baiduspider' access.log |wc -l统计蜘蛛抓取404的次数
grep 'Baiduspider' access.log |grep '404' | wc -l五、小结通过本文的先容,我相信同学们一定会创造 linux三剑客强大之处。在命令行中,它还能够接管,和实行外部的 AWK 程序文件,可以对文本信息进行非常繁芜的处理,可以说“只有想不到的,没有它做不到的”。
