Estou tentando analisar os arquivos de log do apache, mas estou encontrando alguns resultados estranhos e não tenho certeza do que eles significam. Espero que alguém possa fornecer algum insight. (todos os endereços IP foram alterados. nenhum realmente começou com 192, mas eu não imaginei que os mecanismos de busca fossem importantes).
No primeiro exemplo, vários endereços IP estão aparecendo no campo host:
192.249.71.25 - - [04/Aug/2009:04:21:44 -0500] "GET /publications/example.pdf HTTP/1.1" 200 2738
192.0.100.93, 192.20.31.86 - - [04/Aug/2009:04:21:22 -0500] "GET /docs/another.pdf HTTP/1.0" 206 371469
O que causa isso? Tem a ver com servidores proxy? Existe uma maneira de fazer com que o Apache registre apenas um?
Editar:
Aqui está:
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\" %I %O" common
No segundo exemplo, um monte de informações está completamente ausente! O que causaria isso?
msnbot-65-55-207-50.search.msn.com - - [29/Dec/2009:15:45:16 -0600] "GET /publications/example.pdf HTTP/1.1" 200 3470073 "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" 266 3476792
- - - - "-" - - "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.1)" 285 594
- - - - "-" - - "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.1)" 285 4195
- - - - "-" - - "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.1)" 299 109218
crawl-17c.cuil.com - - [29/Dec/2009:15:45:46 -0600] "GET /publications/another.pdf HTTP/1.0" 200 101481 "-" "Mozilla/5.0 (Twiceler-0.9 http://www.cuil.com/twiceler/robot.html)" 253 101704
Minha configuração do CustomLog diz:
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\" %I %O" common
Parece-me que você está por trás de um proxy / cache e está usando o mod_rpaf, que substitui o endereço IP que o apache vê em% h com o conteúdo do X-Forwarded-For. Alguns servidores proxy incluem seu IP e o IP encaminhado (fornecendo a você os endereços IP 1.2.3.4.2.3.4.5. O motivo pelo qual você está obtendo alguns resultados em branco é que alguns servidores proxy usam cabeçalhos diferentes de X-Forwarded-For e o rpaf substitui um valor nulo com -.
Você pode postar a saída de httpd -l e httpd -M , por favor?
Essa linha separada por %h de vírgula parece suspeitamente com algo que está emperrando em um valor X_FORWARDED_FOR. O fato de você não ter uma data nas linhas subseqüentes parece estranho, então minha suposição é que existe um módulo carregado que registrou um gancho de registro e está mastigando sua saída.
Eu nunca vi isso acontecer e executo algumas instalações muito grandes do Apache. Tem que ser algum módulo estragado causando problemas (ou, talvez, a falta de um módulo necessário).
A outra possibilidade pode ser que o Apache não saiba como satisfazer sua diretiva de formato. O '-' significa simplesmente que um ponto de dados solicitado não estava disponível. Esses especificadores de formato são embutidos no mod_log_config, que deve (precisa?) Estar presente por padrão.
Editar ... eu conheço o Ubuntu & A Red Hat define um 'combinado' e um 'comum'. Você poderia tentar usar esse formato? Eu acho que alguém já mencionou isso, no entanto.
Parece que você está reutilizando a definição de registro common . Isso provavelmente não é suportado. Tente definir seu próprio logger
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\" %I %O" mylogformat
Tags logging linux apache-2.2