我知道标准服务器日志的样子。但是,有时我得到的日志让我有点困惑(我正在分析统计数据)。
例如:
www-phalcon2 66.249.78.168 - [20 / Feb / 2015:23:59:59 +0100] 200 3251 4.69 0.001 192.168.64.125 3557“GET /style/products.css?1414645533 HTTP / 1.1”“ - ” “ - ”“Mozilla / 5.0(兼容; Googlebot / 2.1; + http://www.google.com/bot.html)”
第一个IP属于客户端。但其他的呢?什么“www.phalcon2”代表(一般)?而且,传输字节数后的两个值是什么?
我确信很容易解释这些日志,但我已经在互联网上完成了我的研究并没有找到答案。 谢谢你的帮助!
答案 0 :(得分:0)
这看起来像W3C兼容的日志,并且相当标准。关于W3C格式的有趣之处在于它们有一个标题,每行前面都有一个#。文件的顶部看起来像这样:
#Version: 1.0
#Date: 12-Jan-1996 00:00:00
#Fields: time cs-method cs-uri
如果您可以使用与示例相同的源类型搜索splunk以#开头的行(您可能必须一直搜索),那么您可能会找到该定义。如果没有该定义,则无法真正解析该日志。
另一种方法是假设它是一种Apache自定义日志格式(通常没有标题)。在这种情况下,您需要请求LogFormat或CustomLog配置 - 这将为您提供一个称为格式字符串的字符串 - 基本上,一系列%元素一起表示格式。您可以找到a list of all the format specifiers here。
我猜测十进制数是在两秒(%T - 舍入)和微秒(%D - 更高精度)内生成请求所需的时间。但是,这是基于日志库中通常可用的猜测 - 没有配置或标题信息,你真的不能说。