Linux常见日志统计分析命令

　　一、引言
　　在上文中，我们已经详细介绍linux三剑客的基本使用，接下来我们看看具体在性能测试领域的运用，本文主要介绍的是在Tomcat和Nginxaccess日志的统计分析。二、Tomcat统计请求响应时间
　　server。xml使用配置方式，D请求时间，F响应时间ValveclassNameorg。apache。catalina。valves。AccessLogValvedirectorylogsprefixlocalhostaccesslog。suffix。txtpatternhlu〔｛yyyyMMddHH：mm：ss｝t〕｛XRealIP｝irsbDF
　　字段说明如下：h发起请求的客户端IP地址。这里记录的IP地址并不一定是真实用户客户机的IP地址，它可能是私网客户端的公网映射地址或代理服务器地址。l客户机的RFC1413标识（参考），只有实现了RFC1413规范的客户端，才能提供此信息。u远程客户端用户名称，用于记录浏览者进行身份验证时提供的名字，如登录百度的用户名zuozewei，如果没有登录就是空白。t收到请求的时间（访问的时间与时区，比如18Jul2018：17：00：010800，时间信息最后的0800表示服务器所处时区位于UTC之后的8小时）｛XRealIP｝i客户端的真实ipr来自客户端的请求行（请求的URI和HTTP协议，这是整个PV日志记录中最有用的信息，记录服务器收到一个什么样的请求）s服务器返回客户端的状态码，比如成功是200。b发送给客户端的文件主体内容的大小，不包括响应头的大小（可以将日志每条记录中的这个值累加起来以粗略估计服务器吞吐量）｛Referer｝i记录从哪个页面链接访问过来的（请求头Referer的内容）D处理请求的时间，以毫秒为单位F客户端浏览器信息提交响应的时间，以毫秒为单位
　　日志样例：47。203。89。212〔19Apr2017：03：06：530000〕GETHTTP1。1200105995049三、Nginx统计请求和后台服务响应时间
　　使用默认combined的经典格式上扩展responsetimeupstreamresponsetime
　　nginx。conf使用配置方式：logformatmainremoteaddrremoteuser〔timelocal〕
　　字段说明如下：remoteaddr发起请求的客户端IP地址。这里记录的IP地址并不一定是真实用户客户机的IP地址，它可能是私网客户端的公网映射地址或代理服务器地址。remoteuser远程客户端用户名称，用于记录浏览者进行身份验证时提供的名字，如登录百度的用户名zuozewei，如果没有登录就是空白。〔timelocal〕收到请求的时间（访问的时间与时区，比如18Jul2018：17：00：010800，时间信息最后的0800表示服务器所处时区位于UTC之后的8小时）request来自客户端的请求行（请求的URI和HTTP协议，这是整个PV日志记录中最有用的信息，记录服务器收到一个什么样的请求）status服务器返回客户端的状态码，比如成功是200。bodybytessent发送给客户端的文件主体内容的大小，不包括响应头的大小（可以将日志每条记录中的这个值累加起来以粗略估计服务器吞吐量）requesttime整个请求的总时间，以秒为单位（包括接收客户端请求数据的时间、后端程序响应的时间、发送响应数据给客户端的时间（不包含写日志的时间））upstreamresponsetime请求过程中，upstream的响应时间，以秒为单位（向后端建立连接开始到接受完数据然后关闭连接为止的时间）httpreferer记录从哪个页面链接访问过来的（请求头Referer的内容）httpuseragent客户端浏览器信息（请求头UserAgent的内容）httpxforwardedfor客户端的真实ip，通常web服务器放在反向代理的后面，这样就不能获取到客户的IP地址了，通过remoteadd拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的http头信息中，可以增加xforwardedfor信息，用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。
　　日志示例：218。56。42。148〔19Apr2017：01：58：040000〕GETHTTP1。120000。023Mozilla5。0（WindowsNT10。0；WOW64）AppleWebKit537。36（KHTML，likeGecko）Chrome57。0。2987。133Safari537。36四、AWK简介1、基本概念
　　为了能理解AWK程序，我们下面概述其基本知识。
　　AWK程序可以由一行或多行文本构成，其中核心部分是包含一个模式和动作的组合。pattern｛action｝
　　模式（pattern）用于匹配输入中的每行文本。对于匹配上的每行文本，awk都执行对应的动作（action）。模式和动作之间使用花括号隔开。awk顺序扫描每一行文本，并使用记录分隔符（一般是换行符）将读到的每一行作为记录，使用域分隔符（一般是空格符或制表符）将一行文本分割为多个域，每个域分别可以使用2，表示。1表示第一个域，表示第二个域，n表示第n个域。0表示整个记录。模式或动作都可以不指定，缺省模式的情况下，将匹配所有行。缺省动作的情况下，将执行动作｛print｝，即打印整个记录。
　　此处使用Nginxaccess。log举例，Tomcat日志自己举一反三。使用awk分解出Nginxaccess日志中的信息218。56。42。148〔19Apr2017：01：58：040000〕GETHTTP1。120000。023Mozilla5。0（WindowsNT10。0；WOW64）AppleWebKit537。36（KHTML，likeGecko）Chrome57。0。2987。133Safari537。360就是整个记录行1就是访问IP218。56。42。1484就是请求时间的前半部分〔19Apr2017：01：58：045就是请求时间的后半部分0000〕
　　以此类推当我们使用默认的域分割符时，我们可以从日志中解析出下面不同类型的信息：awk｛print1｝access。logIP地址（remoteaddr）awk｛print3｝access。log用户名称remoteuser）awk｛print4，5｝access。log日期和时间（〔timelocal〕）awk｛print7｝accesslogURI（request）awk｛print9｝accesslog状态码（status）awk｛print10｝accesslog响应大小（bodybytessent）awk｛print11｝accesslog请求时间（requesttime）awk｛print12｝accesslogupstream响应时间（upstreamresponsetime）
　　我们不难发现，仅使用默认的域分隔符，不方便解析出请求行、引用页和浏览器类型等其他信息，因为这些信息之中包含不确定个数的空格。因此，我们需要把域分隔符修改为，就能够轻松读出这些信息。awkF｛print2｝access。log请求行（request）awkF｛print4｝access。log引用页（httpreferer）awkF｛print6｝access。log浏览器（httpuseragent）awkF｛print8｝access。log真实ip（httpxforwardedfor）
　　注意：这里为了避免LinuxShell误解为字符串开始，我们使用了反斜杠，转义了。现在，我们已经掌握了awk的基本知识，以及它是怎样解析日志的。2、使用场景举例
　　此处使用Nginxaccess。log举例，Tomcat日志自己举一反三。2。1、浏览器类型统计
　　如果我们想知道那些类型的浏览器访问过网站，并按出现的次数倒序排列，我可以使用下面的命令：awkF｛print6｝access。logsortuniqcsortfr
　　此命令行首先解析出浏览器域，然后使用管道将输出作为第一个sort命令的输入。第一个sort命令主要是为了方便uniq命令统计出不同浏览器出现的次数。最后一个sort命令将把之前的统计结果倒序排列并输出。2。2、发现系统存在的问题
　　我们可以使用下面的命令行，统计服务器返回的状态码，发现系统可能存在的问题。awk｛print9｝access。logsortuniqcsort
　　正常情况下，状态码200或30x应该是出现次数最多的。40x一般表示客户端访问问题。50x一般表示服务器端问题。下面是一些常见的状态码：200请求已成功，请求所希望的响应头或数据体将随此响应返回。206服务器已经成功处理了部分GET请求301被请求的资源已永久移动到新位置302请求的资源现在临时从不同的URI响应请求400错误的请求。当前请求无法被服务器理解401请求未授权，当前请求需要用户验证。403禁止访问。服务器已经理解请求，但是拒绝执行它。404文件不存在，资源在服务器上未被发现。500服务器遇到了一个未曾预料的状况，导致了它无法完成对请求的处理。503由于临时的服务器维护或者过载，服务器当前无法处理请求。
　　HTTP协议状态码定义可以参阅：https：www。w3。orgProtocolsrfc2616rfc2616。html2。3、状态码相关统计
　　查找并显示所有状态码为404的请求awk（9404）access。log
　　统计所有状态码为404的请求awk（9404）access。logawk｛print9，7｝sort
　　现在我们假设某个请求（例如：URI：pathtonotfound）产生了大量的404错误，我们可以通过下面的命令找到这个请求是来自于哪一个引用页，和来自于什么浏览器。awkF（2GETpathtonotfound）｛print4，6｝access。log2。4、追查谁在盗链网站图片
　　有时候会发现其他网站出于某种原因，在他们的网站上使用保存在自己网站上的图片。如果您想知道究竟是谁未经授权使用自己网站上的图片，我们可以使用下面的命令：awkF（2。（jpggifpng）4！http：www。example。com）｛print4｝access。logsortuniqcsort
　　注意：使用前，将www。example。com修改为自己网站的域名。使用分解每一行；请求行中必须包括。jpg、。gif或。引用页不是以您的网站域名字符串开始（在此例中，即www。example。com）；显示出所有引用页，并统计出现的次数。2。5、IP相关统计
　　统计共有多少个不同的IP访问：awk｛print1｝access。logsortuniqwcl
　　统计每一个IP访问了多少个页面：awk｛S〔1〕｝END｛for（ainS）printa，S〔a〕｝logfile
　　将每个IP访问的页面数进行从小到大排序：awk｛S〔1〕｝END｛for（ainS）printS〔a〕，a｝logfilesortn
　　统计2018年8月31日14时内有多少IP访问：awk｛print4，1｝access。loggrep31Aug2018：14awk｛print2｝sortuniqwcl
　　统计访问最多的前十个IP地址awk｛print1｝access。logsortuniqcsortnrhead10
　　查看某一个IP访问了哪些页面：grep202。106。19。100access。logawk｛print1，7｝
　　统计某个IP的详细访问情况，按访问频率排序grep202。106。19。100access。logawk｛print7｝sortuniqcsortrnheadn1002。6、响应页面大小相关统计
　　列出传输大小最大的几个文件cataccess。logawk｛print10147｝sortnrhead100
　　列出输出大于204800byte（200kb）的页面以及对应页面发生次数cataccess。logawk（10200000）｛print7｝sortnuniqcsortnrhead100
　　列出访问最频的页面（TOP100）awk｛print7｝access。logsortuniqcsortrnheadn100
　　列出访问最频的页面（〔排除php页面】（TOP100）grepv。phpaccess。logawk｛print7｝sortuniqcsortrnheadn100
　　列出页面访问次数超过100次的页面cataccess。logcutdf7sortuniqcawk｛if（1100）print0｝less
　　列出最近1000条记录，访问量最高的页面tail1000access。logawk｛print7｝sortuniqcsortnrless2。7、PV相关统计
　　统计每分钟的请求数，top100的时间点（精确到分钟）awk｛print4｝access。logcutc1418sortuniqcsortnrheadn100
　　统计每小时的请求数，top100的时间点（精确到小时）awk｛print4｝access。logcutc1415sortuniqcsortnrheadn100
　　统计每秒的请求数，top100的时间点（精确到秒）awk｛print4｝access。logcutc1421sortuniqcsortnrheadn100
　　统计当天的pvgrep10May2018access。logwcl
　　说明：awk‘｛print1｝’：取数据的第1域（第1列）sort：对IP部分进行排序。uniqc：打印每一重复行出现的次数。（并去掉重复行）sortnrk1：按照重复行出现的次序倒序排列，k1以第一列为标准排序。headn10：取排在前10位的IP2。8、页面响应时间相关统计
　　可以使用下面的命令统计出所有响应时间超过3秒的日志记录。awk（NF1）｛print11｝access。logcataccess。logawk（NF3）｛print7｝
　　注意：NF是当前记录中域的个数。NF即最后一个域。
　　列出php页面请求时间超过3秒的页面，并统计其出现的次数，显示前100条cataccess。logawk（NF17。php）｛print7｝sortnuniqcsortnrhead100
　　列出相应时间超过5秒的请求，显示前20条awk（NF1）｛print11｝access。logawkF｛print2｝sortnuniqcsortnrhead202。9、蜘蛛抓取统计
　　统计蜘蛛抓取次数grepBaiduspideraccess。logwcl
　　统计蜘蛛抓取404的次数grepBaiduspideraccess。loggrep404wcl五、小结
　　通过本文的介绍，我相信同学们一定会发现linux三剑客强大之处。在命令行中，它还能够接受，和执行外部的AWK程序文件，可以对文本信息进行非常复杂的处理，可以说只有想不到的，没有它做不到的。