[CU原创]多种分割WebServer日志的方法

cnsnoopy

本文完整文档的地址为: http://dev.weamax.com/docs/books/log_process/log_process.html

本文作者: Kenny Zhao

为什么要分割日志
随着网站的访问越来越大，WebServer产生的日志文件也会越来越大，如果不对日志进行分割，那么只能一次将大的日志(如Apache的日志)整个删除，这样也丢失了很多对网站比较宝贵的信息，因为这些日志可以用来进行访问分析、网络安全监察、网络运行状况监控等，因此管理好这些海量的日志对网站的意义是很大的。

本文将总结一些实用的日志分割方法，希望能够方便Linux/Unix管理员对日志文件进行有效的管理，如果文件过多过大，可以删除一些历史的文件。



几种日志分割方法
2.1.1. 用第三方程序cronolog进行日志分割
2.1.2. 用自写的脚本进行日志分割
2.1.3. 用第三方程序newsyslog进行日志分割

2.1.1. 用第三方程序cronolog进行日志分割
这种方法最便捷快速，缺点是只支持Apache。


例 2.1. 用cronolog分割日志

1. 下载cronolog

官方下载地址: http://cronolog.org/download/cronolog-1.6.2.tar.gz

1. 
   
2. tar xzvf cronolog-1.6.2.tar.gz
   
3. cd cronolog-1.6.2

复制代码

2. 编译

1. ./configure
   
2. make
   
3. make install

复制代码

3. 修改Apache的配置文件httpd.conf，加入以下代码

1. CustomLog "|/usr/local/sbin/cronolog /var/log/httpd/www/access%Y%m%d.log" combined

复制代码

注意
如果Apache中有多个虚拟主机，最好每个虚拟主机中放置一个这样的代码，并将日志文件名改成不同的名字



提示
/var/log/httpd/www/ 可以更改为任何日志输出路径


4. 保存配置后重新启动Apache服务

1. /etc/rc.d/init.d/httpd stop
   
2. /etc/rc.d/init.d/httpd start

复制代码

最后生成的文件名如以下格式：

/var/log/httpd/www/access20050918.log


2.1.2. 用自写的脚本进行日志分割
如果因为条件不允许，不能使用cronolog分割，这里提供一种更加简洁的方法，可适合以下系统

Linux
Unix
*BSD

例 2.2. 计划任务的方式每天生成一个文件并压缩存放

注意
假设：/var/log/httpd/ 为日志存放的路径，access_log 为以前的日志文件名

1. 创建新文件: /var/log/httpd/log-task.cron

文件内容如下

1. #!/bin/bash
   
2. 
   
3. YESTERDAY=`date -d yesterday +%Y%m%d`
   
4. /usr/bin/gzip -c /var/log/httpd/access_log>/var/log/httpd/access${YESTERDAY}.log.gz
   
5. >/var/log/httpd/access_log

复制代码

保存退出


2. 修改文件的执行权限并测试脚本

1. chmod u+x /var/log/httpd/log-task.cron

复制代码

立即执行一次，测试脚本是否正常工作


注意
测试之前建议先备份一下日志文件(/var/log/httpd/access_log)


测试:

/var/log/httpd/log-task.cron
检查/var/log/httpd 目录下是否已经生成了日期命名的文件。

3. 将该脚本加入到自动运行任务中

crontab -e

然后将以下的的代码拷贝加入到cron的启动脚本末尾:

1. 1      0      *       *       *       /var/log/httpd/log-task.cron

复制代码

保存退出。

提示
(每天凌晨0点1分系统将自动进行日志回滚任务，最终会在/var/log/httpd目录下每天生成一个压缩的日志文件，文件名如 access20051216.log.gz)


2.1.3. 用第三方程序newsyslog进行日志分割
这种方法适用于SQUID等无法使用cronolog的WebServer，缺点是安装比较复杂。

例 2.3. 用newsyslog分割日志

注意
假设：/usr/local/squid/var/logs/ 为日志存放的路径，access.log 为以前的日志文件名

1. 下载newsyslog

官方下载地址: http://archives.eyrie.org/software/system/newsyslog-1.8.tar.gz


tar xzvf newsyslog-1.8.tar.gz
cd newsyslog-1.8
2. 编译

1. ./configure
   
2. make
   
3. make install

复制代码

3. 创建一个新的文件 /usr/local/etc/newsyslog.conf

1. set squid_logpath = /usr/local/squid/var/logs
   
2. set squid_log = /usr/local/squid/var/logs/access.log
   
3. set date_squid_log = /usr/local/squid/var/logs/access%Y%M%D.log
   
4. 
   
5. SQUID{
   
6.         restart: run /usr/local/squid/sbin/squid -k rotate
   
7.         log:  SQUID squid_log squid squid 644
   
8.         archive: SQUID date_squid_log 0
   
9. 
   
10. }

复制代码

保存退出


提示
/usr/local/squid/var/logs 可以更改为任何日志输出路径


4. 将该脚本加入到自动运行任务中

crontab -e

然后将以下的的代码拷贝加入到cron的启动脚本末尾:

1. 58      23      *       *       *       /usr/local/sbin/newsyslog

复制代码

最后生成的文件名如以下格式：

/usr/local/squid/var/logs/access20050918.log

[ 本帖最后由 cnsnoopy 于 2005-12-27 13:21 编辑 ]

biaog

搂主！第二种处理日志文件的方法会丢失部分信息的。

cnsnoopy

你说的是压缩开始，删除原文件之前的那个时间间隔吗？

biaog

恩！两个问题啊
1。如果access.log很大，那么压缩会持续很长时间，在压缩的过程中如果有日志进入access.log，那这些日志会被压缩嘛？
2。就是楼主说的，压缩完后的一瞬间如果突然有很多日志进入access.log，那么这些日志马上又被清掉了，肯定会掉数据的。
还是用cronolog比较好！

ipaddr

写得不错，顶一个。

cnsnoopy

原帖由 biaog 于 2005-12-19 10:15 发表
恩！两个问题啊
1。如果access.log很大，那么压缩会持续很长时间，在压缩的过程中如果有日志进入access.log，那这些日志会被压缩嘛？
2。就是楼主说的，压缩完后的一瞬间如果突然有很多日志进入access.log，那 ...

赞同这位朋友说的，第二种方法的确在处理大日志的时候有些问题，本来也是在无法使用cronolog的情况使用。
不过第一种情况，我个人认为在压缩的过程中，新生成的日志仍然会进入到压缩文件中，直到最后一刻压缩完成，因为在压缩的时候，gzip可能会一直读取到文件末尾才停止,读完之后再更改压缩文件头，因为我认为在技术上是可以实现的。当然这点本人暂时还无法证实，如果哪位朋友有条件可以测试一下。
如果真的在压缩开始后剩下的日志不会进入压缩文件，仍然可以有一种变通的方法，通过先拷贝一个日志的副本，然后清空原日志，这时候再去压缩这个副本，应该可以把“损失”降到最低。

而第二种情况确实存在，不过那一瞬间(应该是毫秒级别)能进入到日志中的信息是不会很多的，即使访问量非常大的网站，也应该可以不去考虑这一点丢失的信息。
不过其实cronolog也可能存在同样的问题，因为cronolog的机制也是apache通过重定向信息到日志文件中，所以也面临这个问题。

越走越远

楼主,介绍一个,日志服务器的实现方法

macrodba

不错。丁以下

Fwolf

难道无法用自定义log文件的方式（apache）
实现每月生成一个access.log么？

cnsnoopy

Apache没有办法做到定时的的回滚，比如通常我们都要求在0点的时候进行回滚，这样不会破坏完整的一天的日志。