有時候我們需要定製Apache預設日誌的格式和內容，比如增加或減少日誌所記錄的資訊、改變預設日誌檔案的格式等。本文介紹可以用日誌記錄的所有資訊，以及如何設定Apache使其記錄這些資訊。
　　
　　一、定義日誌格式(4月3日)
　　
　　　　 很久以前，日誌檔案只有一種格式，這就是“公共格式”，許多人已經習慣於使用這種格式。隨後出現了定製日誌格式，而且看起來定製日誌格式更很受歡迎，即使公共日誌格式本身也重新用定製日誌格式定義。本文介紹的就是如何隨心所欲地定製日誌檔案的格式、如何讓日誌檔案記錄自己想要的資訊。
　　
　　　　 定製日誌檔案的格式涉及到兩個指令，即LogFormat指令和CustomLog指令，預設httpd.conf檔案提供了關於這兩個指令的幾個示例。
　　
　　　　 LogFormat指令定義格式併為格式指定一個名字，以後我們就可以直接引用這個名字。CustomLog指令設定日誌檔案，並指明日誌檔案所用的格式（通常通過格式的名字）。
　　
　　　　 LogFormat指令的功能是定義日誌格式併為它指定一個名字。例如，在預設的httpd.conf檔案中，我們可以找到下面這行程式碼：
　　
　　　 LogFormat "%h %l %u %t /"%r/" %>s %b" common
　　
　　　　 該指令建立了一種名為“common”的日誌格式，日誌的格式在雙引號包圍的內容中指定。格式字串中的每一個變數代表著一項特定的資訊，這些資訊按照格式串規定的次序寫入到日誌檔案。
　　　　 Apache文件已經給出了所有可用於格式串的變數及其含義，下面是其譯文：
　　　　 %...a: 遠端IP地址
　　　　 %...A: 本地IP地址
　　　　 %...B: 已傳送的位元組數，不包含HTTP頭
　　　　 %...b: CLF格式的已傳送位元組數量，不包含HTTP頭。例如當沒有傳送資料時，寫入‘-’而不是0。
　　　　 %...{FOOBAR}e: 環境變數FOOBAR的內容
　　　　 %...f: 檔名字
　　　　 %...h: 遠端主機
　　　　 %...H 請求的協議
　　　　 %...{Foobar}i: Foobar的內容，傳送給伺服器的請求的標頭行。
　　　　 %...l: 遠端登入名字（來自identd，如提供的話）
　　　　 %...m 請求的方法
　　　　 %...{Foobar}n: 來自另外一個模組的註解“Foobar”的內容
　　　　 %...{Foobar}o: Foobar的內容，應答的標頭行
　　　　 %...p: 伺服器響應請求時使用的埠
　　　　 %...P: 響應請求的子程序ID。
　　　　 %...q 查詢字串（如果存在查詢字串，則包含“?”後面的部分；否則，它是一個空字串。）
　　　　 %...r: 請求的第一行
　　　　 %...s: 狀態。對於進行內部重定向的請求，這是指*原來*請求 的狀態。如果用%...>s，則是指後來的請求。
　　　　 %...t: 以公共日誌時間格式表示的時間（或稱為標準英文格式）
　　　　 %...{format}t: 以指定格式format表示的時間
　　　　 %...T: 為響應請求而耗費的時間，以秒計
　　　　 %...u: 遠端使用者（來自auth；如果返回狀態（%s）是401則可能是偽造的）
　　　　 %...U: 使用者所請求的URL路徑
　　　　 %...v: 響應請求的伺服器的ServerName
　　　　 %...V: 依照UseCanonicalName設定得到的伺服器名字
　　
　　　　 在所有上面列出的變數中，“...”表示一個可選的條件。如果沒有指定條件，則變數的值將以“-”取代。分析前面來自預設httpd.conf檔案的LogFormat指令示例，可以看出它建立了一種名為“common”的日誌格式，其中包括：遠端主機，遠端登入名字，遠端使用者，請求時間，請求的第一行程式碼，請求狀態，以及傳送的位元組數。
　　
　　　　 有時候我們只想在日誌中記錄某些特定的、已定義的資訊，這時就要用到“...”。如果在“%”和變數之間放入了一個或者多個HTTP狀態程式碼，則只有當請求返回的狀態程式碼屬於指定的狀態程式碼之一時，變數所代表的內容才會被記錄。例如，如果我們想要記錄的是網站的所有無效連結，那麼可以使用：
　　
　　LogFormat %404{Referer}i BrokenLinks
　　
　　　　 反之，如果我們想要記錄那些狀態程式碼不等於指定值的請求，只需加入一個“!”符號即可：

Apache日誌：訪問日誌(一)
想要知道什麼人在什麼時候瀏覽了網站的哪些內容嗎？檢視Apache的訪問日誌就可以知道。訪問日誌是Apache的標準日誌，本文詳細解釋了訪問日誌的內容以及相關選項的配置。
　　
　　一、訪問日誌的格式
　　
　　　　 Apache內建了記錄伺服器活動的功能，這就是它的日誌功能。這個《Apache日誌》系列文章介紹的就是Apache的訪問日誌、錯誤日誌，以及如何分析日誌資料，如何定製Apache日誌，如何從日誌資料生成統計報表等內容。
　　
　　　　 如果Apache的安裝方式是預設安裝，伺服器一執行就會有兩個日誌檔案生成。這兩個檔案是access_log（在Windows上是access.log）和error_log（在Windows上是error.log）。採用預設安裝方式時，這些檔案可以在/usr/local/apache/logs下找到；對於Windows系統，這些日誌檔案將儲存在Apache安裝目錄的logs子目錄。不同的包管理器會把日誌檔案放到各種不同的位置，所以你可能需要找找其他的地方，或者通過配置檔案檢視這些日誌檔案配置到了什麼地方。
　　
　　　　 正如其名字所示，訪問日誌access_log記錄了所有對Web伺服器的訪問活動。下面是訪問日誌中一個典型的記錄：
　　
　　216.35.116.91 - - [19/Aug/2000:14:47:37 -0400] "GET / HTTP/1.0" 200 654
　　
　　　 這行內容由7項構成，上面的例子中有兩項空白，但整行內容仍舊分成了7項。
　　
　　　　 第一項資訊是遠端主機的地址，即它表明訪問網站的究竟是誰。在上面的例子中，訪問網站的主機是216.35.116.91。隨便說一句，這個地址屬於一臺名為si3001.inktomi.com的機器（要找出這個資訊，可以使用nslookup工具查詢DNS），inktomi.com是一家制作Web搜尋軟體的公司。可以看出，僅僅從日誌記錄的第一項出發，我們就可以得到有關訪問者的不少資訊。
　　
　　　　 預設情況下，第一項資訊只是遠端主機的IP地址，但我們可以要求Apache查出所有的主機名字，並在日誌檔案中用主機名字來替代IP地址。然而，這種做法通常不值得推薦，因為它將極大地影響伺服器記錄日誌的速度，從而也就減低了整個網站的效率。另外，有許多工具能夠將日誌檔案中的IP地址轉換成主機名字，因此要求Apache記錄主機名字替代IP地址是得不償失的。
　　
　　　　 然而，如果確實有必要讓Apache找出遠端主機的名字，那麼我們可以使用如下指令：
　　
　　HostNameLookups on
　　
　　　　 如果HostNameLookups設定成double而不是on，日誌記錄程式將對它找到的主機名字進行反向查詢，驗證該主機名字確實指向了原來出現的IP地址。預設情況下HostNameLookups設定為off。
　　
　　　　 上例日誌記錄中的第二項是空白，用一個“-”佔位符替代。實際上絕大多數時候這一項都是如此。這個位置用於記錄瀏覽者的標識，這不只是瀏覽者的登入名字，而是瀏覽者的email地址或者其他唯一識別符號。這個資訊由identd返回，或者直接由瀏覽器返回。很早的時候，那時Netscape 0.9還佔據著統治地位，這個位置往往記錄著瀏覽者的email地址。然而，由於有人用它來收集郵件地址和傳送垃圾郵件，所以它未能保留多久，很久之前市場上幾乎所有的瀏覽器就取消了這項功能。因此，到了今天，我們在日誌記錄的第二項看到email地址的機會已經微乎其微了。
　　
　　　　 日誌記錄的第三項也是空白。這個位置用於記錄瀏覽者進行身份驗證時提供的名字。當然，如果網站的某些內容要求使用者進行身份驗證，那麼這項資訊是不會空白的。但是，對於大多數網站來說，日誌檔案的大多數記錄中這一項仍舊是空白的。
　　
　　　　 日誌記錄的第四項是請求的時間。這個資訊用方括號包圍，而且採用所謂的“公共日誌格式”或“標準英文格式”。因此，上例日誌記錄表示請求的時間是2000年8月19日星期三14:47:37。時間資訊最後的“-0400”表示伺服器所處時區位於UTC之前的4小時。
　　
　　　　 日誌記錄的第五項資訊或許是整個日誌記錄中最有用的資訊，它告訴我們伺服器收到的是一個什麼樣的請求。該項資訊的典型格式是“METHOD RESOURCE PROTOCOL”，即“方法 資源 協議”。
　　
　　　　 在上例中，METHOD是GET，其他經常可能出現的METHOD還有POST和HEAD。此外還有不少可能出現的合法METHOD，但主要就是這三種。
　　
　　　　 RESOURCE是指瀏覽者向伺服器請求的文件，或URL。在這個例子中，瀏覽者請求的是“/”，即網站的主頁或根。大多數情況下，“/”指向DocumentRoot目錄的index.html文件，但根據伺服器配置的不同它也可能指向其他檔案。
　　
　　　　 PROTOCOL通常是HTTP，後面再加上版本號。版本號或者是1.0，或者是1.1，但出現1.0的時候比較多。我們知道，HTTP協議是Web得以工作的基礎，HTTP/1.0是HTTP協議的早期版本，而1.1是最近的版本。當前大多數Web客戶程式仍使用1.0版本的HTTP協議。
　　
　　　　 日誌記錄的第六項資訊是狀態程式碼。它告訴我們請求是否成功，或者遇到了什麼樣的錯誤。大多數時候，這項值是200，它表示伺服器已經成功地響應瀏覽器的請求，一切正常。此處不準備給出狀態程式碼的完整清單以及解釋它們的含義，請參考相關資料瞭解這方面的資訊。但一般地說，以2開頭的狀態程式碼表示成功，以3開頭的狀態程式碼表示由於各種不同的原因使用者請求被重定向到了其他位置，以4開頭的狀態程式碼表示客戶端存在某種錯誤，以5開頭的狀態程式碼表示伺服器遇到了某個錯誤。
　　
　　　　 日誌記錄的第七項表示傳送給客戶端的總位元組數。它告訴我們傳輸是否被打斷（即，該數值是否和檔案的大小相同）。把日誌記錄中的這些值加起來就可以得知伺服器在一天、一週或者一月內傳送了多少資料。
　　
　　二、配置訪問日誌
　　
　　　　 訪問日誌檔案的位置實際上是一個配置選項。如果我們檢查httpd.conf配置檔案，可以看到該檔案中有如下這行內容：
　　
　　CustomLog /usr/local/apache/logs/access_log common
　　　　 注意，對於版本較早的Apache伺服器，這行內容可能略有不同。它使用的可能不是CustomLog指令，而是TransferLog指令。如果你的伺服器屬於這類情況，建議你儘可能地早日升級伺服器。
　　
　　　　 CustomLog指令指定了儲存日誌檔案的具體位置以及日誌的格式。至於如何定製日誌檔案的格式以及內容，我們將在這個《Apache日誌》系列文章的後面幾篇討論。上面這行指令指定的是common日誌格式，自從有了Web伺服器開始，common格式就是它的標準格式。由此我們也可以理解，雖然幾乎不再有任何客戶程式向伺服器提供使用者的標識資訊，但訪問日誌卻還保留著第二項內容。
　　
　　　　 CustomLog指令中的路徑是日誌檔案的路徑。注意，由於日誌檔案是由HTTP使用者開啟的（用User指令指定），因此必須注意這個路徑要有安全保證，防止該檔案被隨意改寫。
　　
　　　　 《Apache日誌》系列文章的後面幾篇將繼續介紹：Apache錯誤日誌，定製日誌的格式和內容，如何將日誌內容寫入指定的程式而不是檔案，如何從日誌檔案獲得一些非常有用的統計資訊，等等。

Apache日誌：訪問日誌(二)

3. 程序統計
　　
　　UNIX可以跟蹤每個使用者執行的每條命令，如果想知道昨晚弄亂了哪些重要的檔案，程序統計子系統可以告訴你。它對還跟蹤一個侵入者有幫助。與連線時間日誌不同，程序統計子系統預設不啟用，它必須啟動。在Linux系統中啟動程序統計使用accton命令，必須用root身份來執行。Accton命令的形式accton file，file必須先存在。先使用touch命令來建立pacct檔案：touch /var/log/pacct，然後執行accton： accton /var/log/pacct。一旦accton被啟用，就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計，可以使用不帶任何引數的accton命令。
　　
　　lastcomm命令報告以前執行的檔案。不帶引數時，lastcomm命令顯示當前統計檔案生命週期內紀錄的所有命令的有關資訊。包括命令名、使用者、tty、命令花費的CPU時間和一個時間戳。如果系統有許多使用者，輸入則可能很長。下面的例子：
　　
　　crond F root ?? 0.00 secs Sun Aug 20 00:16
　　promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
　　promisc_check root ?? 0.01 secs Sun Aug 20 00:16
　　grep root ?? 0.02 secs Sun Aug 20 00:16
　　tail root ?? 0.01 secs Sun Aug 20 00:16
　　sh root ?? 0.01 secs Sun Aug 20 00:15
　　ping S root ?? 0.01 secs Sun Aug 20 00:15
　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.01 secs Sun Aug 20 00:15
　　ping S root ?? 0.02 secs Sun Aug 20 00:15
　　ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
　　sh root ?? 0.02 secs Sun Aug 20 00:15
　　ping S root ?? 0.00 secs Sun Aug 20 00:15
　　ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.01 secs Sun Aug 20 00:15
　　ping S root ?? 0.01 secs Sun Aug 20 00:15
　　sh root ?? 0.02 secs Sun Aug 20 00:15
　　ping S root ?? 1.34 secs Sun Aug 20 00:15
　　locate root ttyp0 1.34 secs Sun Aug 20 00:15
　　accton S root ttyp0 0.00 secs Sun Aug 20 00:15
　　
　　程序統計的一個問題是pacct檔案可能增長的十分迅速。這時需要互動式的或經過cron機制執行sa命令來保持日誌資料在系統控制內。sa命令報告、清理並維護程序統計檔案。它能把/var/log/pacct中的資訊壓縮到摘要檔案/var/log/savacct和/var/log/usracct中。這些摘要包含按命令名和使用者名稱分類的系統統計資料。sa預設情況下先讀它們，然後讀pacct檔案，使報告能包含所有的可用資訊。sa的輸出有下面一些標記項：
　　
　　avio--每次執行的平均I/O操作次數
　　cp--使用者和系統時間總和，以分鐘計
　　cpu--和cp一樣
　　k--核心使用的平均CPU時間，以1k為單位
　　k*sec--CPU儲存完整性，以1k-core秒
　　re--實時時間，以分鐘計
　　s--系統時間，以分鐘計
　　tio--I/O操作的總數
　　u--使用者時間，以分鐘計
　　
　　例如：
　　
　　842 173.26re 4.30cp 0avio 358k
　　2 10.98re 4.06cp 0avio 299k find
　　9 24.80re 0.05cp 0avio 291k ***other
　　105 30.44re 0.03cp 0avio 302k ping
　　104 30.55re 0.03cp 0avio 394k sh
　　162 0.11re 0.03cp 0avio 413k security.sh*
　　154 0.03re 0.02cp 0avio 273k ls
　　56 31.61re 0.02cp 0avio 823k ping6.pl*
　　2 3.23re 0.02cp 0avio 822k ping6.pl
　　35 0.02re 0.01cp 0avio 257k md5sum
　　97 0.02re 0.01cp 0avio 263k initlog
　　12 0.19re 0.01cp 0avio 399k promisc_check.s
　　15 0.09re 0.00cp 0avio 288k grep
　　11 0.08re 0.00cp 0avio 332k awk
　　
　　使用者還可以根據使用者而不是命令來提供一個摘要報告。例如sa -m顯示如下：
　　
　　885 173.28re 4.31cp 0avk
　　root 879 173.23re 4.31cp 0avk
　　alias 3 0.05re 0.00cp 0avk
　　qmailp 3 0.01re 0.00cp 0avk
　　
　　4. Syslog裝置
　　
　　Syslog已被許多日誌函式採納，它用在許多保護措施中--任何程式都可以通過syslog 紀錄事件。Syslog可以紀錄系統事件，可以寫到一個檔案或裝置中，或給使用者傳送一個資訊。它能紀錄本地事件或通過網路紀錄另一個主機上的事件。
　　
　　Syslog裝置依據兩個重要的檔案：/etc/syslogd（守護程序）和/etc/syslog.conf配置檔案，習慣上，多數syslog資訊被寫到/var/adm或/var/log目錄下的資訊檔案中（messages.*）。一個典型的syslog紀錄包括生成程式的名字和一個文字資訊。它還包括一個裝置和一個優先順序範圍（但不在日之中出現）。
　　
　　每個syslog訊息被賦予下面的主要裝置之一：
　　
　　LOG_AUTH--認證系統：login、su、getty等
　　LOG_AUTHPRIV--同LOG_AUTH，但只登入到所選擇的單個使用者可讀的檔案中
　　LOG_CRON--cron守護程序
　　LOG_DAEMON--其他系統守護程序，如routed
　　LOG_FTP--檔案傳輸協議：ftpd、tftpd
　　LOG_KERN--核心產生的訊息
　　LOG_LPR--系統印表機緩衝池：lpr、lpd
　　LOG_MAIL--電子郵件系統
　　LOG_NEWS--網路新聞系統
　　LOG_SYSLOG--由syslogd（8）產生的內部訊息
　　LOG_USER--隨機使用者程序產生的訊息
　　LOG_UUCP--UUCP子系統
　　LOG_LOCAL0~LOG_LOCAL7--為本地使用保留
　　
　　Syslog為每個事件賦予幾個不同的優先順序：
　　
　　LOG_EMERG--緊急情況
　　LOG_ALERT--應該被立即改正的問題，如系統資料庫破壞
　　LOG_CRIT--重要情況，如硬碟錯誤
　　LOG_ERR--錯誤
　　LOG_WARNING--警告資訊
　　LOG_NOTICE--不是錯誤情況，但是可能需要處理
　　LOG_INFO--情報資訊
　　LOG_DEBUG--包含情報的資訊，通常旨在除錯一個程式時使用
　　
　　syslog.conf檔案指明syslogd程式紀錄日誌的行為，該程式在啟動時查詢配置檔案。該檔案由不同程式或訊息分類的單個條目組成，每個佔一行。對每類訊息提供一個選擇域和一個動作域。這些域由tab隔開：選擇域指明訊息的型別和優先順序；動作域指明syslogd接收到一個與選擇標準相匹配的訊息時所執行的動作。每個選項是由裝置和優先順序組成。當指明一個優先順序時，syslogd將紀錄一個擁有相同或更高優先順序的訊息。所以如果指明"crit"，那所有標為crit、alert和emerg的訊息將被紀錄。每行的行動域指明當選擇域選擇了一個給定訊息後應該把他傳送到哪兒。例如，如果想把所有郵件訊息紀錄到一個檔案中，如下：
　　
　　#Log all the mail messages in one place
　　mail.* /var/log/maillog
　　
　　其他裝置也有自己的日誌。UUCP和news裝置能產生許多外部訊息。它把這些訊息存到自己的日誌（/var/log/spooler）中並把級別限為"err"或更高。例如：
　　
　　# Save mail and news errors of level err and higher in aspecial file.
　　uucp,news.crit /var/log/spooler
　　
　　當一個緊急訊息到來時，可能想讓所有的使用者都得到。也可能想讓自己的日誌接收並儲存。
　　
　　#Everybody gets emergency messages， plus log them on anther machine
　　*.emerg *
　　*.emerg @linuxaid.com.cn
　　
　　alert訊息應該寫到root和tiger的個人賬號中：
　　
　　#Root and Tiger get alert and higher messages
　　*.alert root,tiger
　　
　　有時syslogd將產生大量的訊息。例如核心（"kern"裝置）可能很冗長。使用者可能想把核心訊息紀錄到/dev/console中。下面的例子表明核心日誌紀錄被註釋掉了：
　　
　　#Log all kernel messages to the console
　　#Logging much else clutters up the screen
　　#kern.* /dev/console
　　
　　使用者可以在一行中指明所有的裝置。下面的例子把info或更高級別的訊息送到/var/log/messages，除了mail以外。級別"none"禁止一個裝置：
　　
　　#Log anything（except mail）of level info or higher
　　#Don't log private authentication messages!
　　*.info:mail.none;authpriv.none /var/log/messages
　　
　　在有些情況下，可以把日誌送到印表機，這樣網路入侵者怎麼修改日誌都沒有用了。通常要廣泛紀錄日誌。Syslog裝置是一個攻擊者的顯著目標。一個為其他主機維護日誌的系統對於防範伺服器攻擊特別脆弱，因此要特別注意。
　　
　　有個小命令logger為syslog（3）系統日誌檔案提供一個shell命令介面，使使用者能建立日誌檔案中的條目。用法：logger 例如：logger This is a test！
　　
　　它將產生一個如下的syslog紀錄：Aug 19 22:22:34 tiger: This is a test!
　　
　　注意不要完全相信日誌，因為攻擊者很容易修改它的。
　　
　　5. 程式日誌
　　
　　許多程式通過維護日誌來反映系統的安全狀態。su命令允許使用者獲得另一個使用者的許可權，所以它的安全很重要，它的檔案為sulog。同樣的還有sudolog。另外，想Apache有兩個日誌：access_log和error_log。