Nginx 日志对于大部分人来说是个未被发掘的宝藏,总结之前做某日志分析系统的经验,和大家分享一下 Nginx 日志的纯手工分析方式。

Nginx 日志相关配置有 2 个地方:access_log 和 log_format 。

默认的格式:

access_log /data/logs/nginx-access.log;

log_format old '$remote_addr [$time_local] $status $request_time $body_bytes_sent '
'"$request" "$http_referer" "$http_user_agent"';

相信大部分用过 Nginx 的人对默认 Nginx 日志格式配置都很熟悉,对日志的内容也很熟悉。但是默认配置和格式虽然可读,但是难以计算。

Nginx 日志刷盘相关策略可配置:

比如,设置 buffer,buffer 满 32k 才刷盘;假如 buffer 不满 5s 钟强制刷盘的配置如下:

access_log /data/logs/nginx-access.log buffer=32k flush=5s;

这决定了是否实时看到日志以及日志对磁盘 IO 的影响。

Nginx 日志能够记录的变量还有很多没出现在默认配置中:

比如:

请求数据大小:$request_length

返回数据大小:$bytes_sent

请求耗时:$request_time

所用连接序号:$connection

当前连接发生请求数:$connection_requests

Nginx 的默认格式不可计算,需要想办法转换成可计算格式,比如用控制字符 ^A (Mac 下 ctrl+v ctrl+a 打出)分割每个字段。

log_format 的格式可以变成这样:

log_format new '$remote_addr^A$http_x_forwarded_for^A$host^A$time_local^A$status^A'
'$request_time^A$request_length^A$bytes_sent^A$http_referer^A$request^A$http_user_agent';

这样之后就通过常见的 Linux 命令行工具进行分析了:

查找访问频率最高的 URL 和次数:

cat access.log | awk -F ‘^A’ ‘{print $10}’ | sort | uniq -c

查找当前日志文件 500 错误的访问:

cat access.log | awk -F ‘^A’ ‘{if($5 == 500) print $0}’

查找当前日志文件 500 错误的数量:

cat access.log | awk -F ‘^A’ ‘{if($5 == 500) print $0}’ | wc -l

查找某一分钟内 500 错误访问的数量:

cat access.log | awk -F ‘^A’ ‘{if($5 == 500) print $0}’ | grep ’09:00’ | wc-l

查找耗时超过 1s 的慢请求:

tail -f access.log | awk -F ‘^A’ ‘{if($6>1) print $0}’

假如只想查看某些位:

tail -f access.log | awk -F ‘^A’ ‘{if($6>1) print $3″|”$4}’

查找 502 错误最多的 URL:

cat access.log | awk -F ‘^A’ ‘{if($5==502) print $11}’ | sort | uniq -c

查找 200 空白页

cat access.log | awk -F ‘^A’ ‘{if($5==200 && $8 < 100) print $3″|”$4″|”$11″|”$6}’

查看实时日志数据流

tail -f access.log | cat -e

或者

tail -f access.log | tr ‘^A’ ‘|’

总结

照着这个思路可以做很多其他分析,比如 UA 最多的访问;访问频率最高的 IP;请求耗时分析;请求返回包大小分析;等等。

这就是一个大型 Web 日志分析系统的原型,这样的格式也是非常方便进行后续大规模 batching 和 streaming 计算。

link:http://blog.eood.cn/nginx_logs

想起很早之前zone有人问过nginx日志分析,正好今天看到这篇文章,自己实践了下,觉得不错,分享下:)

[原文地址]

各种吐槽:

1#

RedFree (‮1:1 1-1-1112 |※(器杀制自) | 2014-07-09 20:00

感谢楼主分享!

2#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-07-09 20:01

@RedFree 我也是看了文章才知道原来还可以这么玩的。嘿嘿=。=

3#

sqzr | 2014-07-09 20:11

还是比较喜欢用goaccess之类的软件.

4#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-07-09 20:13

@sqzr 软件也可以,但是手工比较灵活,很多时候还是需要结合自身需求去写规则。

5#

从容 (快点交出0day,我保证不砍死你- -.) | 2014-07-09 20:37

梧桐雨大牛真不愧是社区活跃用户,总发神贴

6#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-07-09 20:38

@从容 = =从容大牛,求不黑哈。

7#

从容 (快点交出0day,我保证不砍死你- -.) | 2014-07-09 20:41

@梧桐雨 你可别闹了,话说月爆快出了吧~

8#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-07-09 20:42

@从容 快了,你肉肉姐姐在给大伙画T恤呢。

9#

剑气如霜 | 2014-07-09 20:45

感谢分享。

10#

从容 (快点交出0day,我保证不砍死你- -.) | 2014-07-09 20:46

@梧桐雨 哈哈,我看到了,难道真的是一个一个画的?不会吧,我看都像是印上去的

11#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-07-09 20:47

@从容 亲手画的,你不信 可以问问她哦 @肉肉

12#

小胖子 (全世界背叛我又怎样,有z7y就足够了。) | 2014-07-09 20:49

顶妹子一下

13#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-07-09 20:50

@小胖子 =.=胖子哥,这些你应该都知道的,献丑了。。。

14#

Mujj (Krypt VPS特价www.80host.com) | 2014-07-09 21:22

西盟喜欢玩这个啊,第一次乌云成都聚会的时候,大家就看他在那玩AWK了

15#

从容 (快点交出0day,我保证不砍死你- -.) | 2014-07-09 21:25

@梧桐雨 我擦,他不得累死啊,我问问她去

16#

梧桐雨 (‮ofni.uygnotuw‮) | 2014-07-09 21:28

@Mujj 大哥哥,pm私信你了~~看下站内短信

17#

小土豆 (加油ing~~) | 2014-07-09 21:30

@梧桐雨 那个。我只想说梧桐雨妹子 grep tail awk 之类玩的很嗨! 另外,有个建议,可以加上发信功能,设定任务管理计划,每隔一段时间,对日志进行分析整理,将error或者其他的一些错误日志给重定向输出到一个文件,然后发送到指定email.大牛别打我.

18#

insight-labs (Root Yourself in Success) | 2014-07-09 21:37

我的可视化实时日志分析都做出来了,手动得看到什么时候

19#

小胖胖要减肥 | 2014-07-09 23:27

@insight-labs 啥 大数据可视化+自动追踪? 查的话各种前端都比较方便

20#

老树 | 2014-07-10 09:27

这个不错,用nginx自带的看

21#

从容 (快点交出0day,我保证不砍死你- -.) | 2014-07-10 09:29

话说乌云就是nginx的

22#

winsyk | 2014-07-10 09:39

nginx和apache没啥区别,只是注意下nginx日志格式化字段的定义,分析的话也没啥技术含量。。。

23#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-07-10 09:40

方法真不错,学到了。

留言评论(旧系统):

为什么 @ 2014-07-10 15:55:29

核总有什么办法可以查出自己网站有没有跳转木马或者后门什么的,我们老板有一个站做广告,光有ip和流量,就是没有人注册和下单,说网站可能有问题,因为模板是别人给的,叫我们查问题,所以想请教老大下有简单的方法能测试这个问题吗,感激不尽了

本站回复:

这个还真不好查,相当麻烦,没有简单方法,只有挨个排查了。

佚名 @ 2014-07-20 08:26:14

呵呵

本站回复:

匿名 @ 2014-10-04 14:35:38

核总。久仰大名。 关键问题:首页百万年薪广告可否属实?在你上边做的广告,你为了兄弟们,也要审核下。自身利益是小。

本站回复:

广告属实,前提是得有能力啊。