多种分割WebServer日志的方法

最新推荐文章于 2021-03-10 04:19:32 发布

jiedushi

最新推荐文章于 2021-03-10 04:19:32 发布

阅读量1.8k

点赞数

分类专栏： linux系统管理文章标签：脚本 apache 任务测试 access cron

linux系统管理专栏收录该内容

66 篇文章 0 订阅

订阅专栏

为什么要分割日志
随着网站的访问越来越大，WebServer产生的日志文件也会越来越大，如果不对日志进行分割，那么只能一次将大的日志(如Apache的日志)整个删除，这样也丢失了很多对网站比较宝贵的信息，因为这些日志可以用来进行访问分析、网络安全监察、网络运行状况监控等，因此管理好这些海量的日志对网站的意义是很大的。

本文将总结一些实用的日志分割方法，希望能够方便Linux/Unix管理员对日志文件进行有效的管理，如果文件过多过大，可以删除一些历史的文件。

几种日志分割方法
2.1.1. 用第三方程序cronolog进行日志分割
2.1.2. 用自写的脚本进行日志分割
2.1.3. 用第三方程序newsyslog进行日志分割

2.1.1. 用第三方程序cronolog进行日志分割
这种方法最便捷快速，缺点是只支持Apache。

例 2.1. 用cronolog分割日志

1. 下载cronolog

官方下载地址: http://cronolog.org/download/cronolog-1.6.2.tar.gz

tar xzvf cronolog-1.6.2.tar.gz

cd cronolog-1.6.2

2. 编译

./configure

make

make install

3. 修改Apache的配置文件httpd.conf，加入以下代码

CustomLog "|/usr/local/sbin/cronolog /var/log/httpd/www/access%Y%m%d.

log" combined

注意
如果Apache中有多个虚拟主机，最好每个虚拟主机中放置一个这样的代码，并将日志文件名改成不同的名字

提示
/var/log/httpd/www/ 可以更改为任何日志输出路径

4. 保存配置后重新启动Apache服务

/etc/rc.d/init.d/httpd stop

/etc/rc.d/init.d/httpd start

最后生成的文件名如以下格式：

/var/log/httpd/www/access20050918.log

2.1.2. 用自写的脚本进行日志分割
如果因为条件不允许，不能使用cronolog分割，这里提供一种更加简洁的方法，可适合以下系统

Linux
Unix
*BSD

例 2.2. 计划任务的方式每天生成一个文件并压缩存放

注意
假设：/var/log/httpd/ 为日志存放的路径，access_log 为以前的日志文件名

1. 创建新文件: /var/log/httpd/log-task.cron

文件内容如下

#!/bin/bash
YESTERDAY=`date -d yesterday +%Y%m%d`
/usr/bin/gzip -c /var/log/httpd/access_log>/var/log/httpd/access${YESTERDAY}.log.gz
>/var/log/httpd/access_log

保存退出
2. 修改文件的执行权限并测试脚本

chmod u+x /var/log/httpd/log-task.cron

立即执行一次，测试脚本是否正常工作
注意
测试之前建议先备份一下日志文件(/var/log/httpd/access_log)
测试:

/var/log/httpd/log-task.cron
检查/var/log/httpd 目录下是否已经生成了日期命名的文件。

3. 将该脚本加入到自动运行任务中
crontab -e
然后将以下的的代码拷贝加入到cron的启动脚本末尾:

1 0 * * * &n

bsp; /var/log/httpd/log-task.cron

保存退出。

提示
(每天凌晨0点1分系统将自动进行日志回滚任务，最终会在/var/log/httpd目录下每天生成一个压缩的日志文件，文件名如 access20051216.log.gz)

2.1.3. 用第三方程序newsyslog进行日志分割
这种方法适用于SQUID等无法使用cronolog的WebServer，缺点是安装比较复杂。

例 2.3. 用newsyslog分割日志

注意
假设：/usr/local/squid/var/logs/ 为日志存放的路径，access.log 为以前的日志文件名

1. 下载newsyslog

官方下载地址: http://archives.eyrie.org/software/system/newsyslog-1.8.tar.gz

tar xzvf newsyslog-1.8.tar.gz
cd newsyslog-1.8
2. 编译

./configure

make

make install

3. 创建一个新的文件 /usr/local/etc/newsyslog.conf

set squid_logpath = /usr/local/squid/var/logs

set squid_log = /usr/local/squid/var/logs/access.log

set date_squid_log = /usr/local/squid/var/logs/access%Y%M%D.log

SQUID{

        restart: run /usr/local/squid/sbin/squid -k rotate

        log:  SQUID squid_log squid squid 644

        archive: SQUID date_squid_log 0

}

保存退出
提示
/usr/local/squid/var/logs 可以更改为任何日志输出路径
4. 将该脚本加入到自动运行任务中

crontab -e

然后将以下的的代码拷贝加入到cron的启动脚本末尾:

58 23 * * * /usr/local/sbin/newsyslog

linux下大日志的分割

方法1：（split分割）
语法：split [-<行数>][-b <字节>][-C <字节>][-l <行数>][要切割的文件][输出文件名]

# gunzip log.txt.gz //一定要先解压，否则分割的文件是不能cat/zcat显示；

# wc -l log.txt //计算一个文件的总行数；

208363 log.txt
# split -l 120000 log.txt newlog    //通过指定行数，将日志分割成两个文件；
# du -sh *50M     log.txt
29M     newlogaa
22M     newlogab
# file *                         //分割后的文件与原文件属性一样
log.txt: ASCII text, with very long lines, with CRLF line terminators
newlogaa: ASCII text, with very long lines, with CRLF line terminators
newlogab: ASCII text, with very long lines, with CRLF line terminators
# gzip newlogaa newlogab         //将分割后的文件进行压缩，以便传输

另一种方法，通过

方法2：（dd分割）
# gunzip log.txt.gz //一定要先解压，否则分割的文件是不能cat/zcat显示；

#dd bs=20480 count=1500 if=log.txt of=newlogaa //按大小分第一个文件

#dd bs=20480 count=1500 if=log.txt of=newlogab skip=1500 //将大小之后的生成另一个文件#file *

log.txt: ASCII text, with very long lines, with CRLF line terminators
newlogaa: ASCII text, with very long lines, with CRLF line terminators
newlogab: ASCII text, with very long lines, with CRLF line terminators

分割没问题，但会出现同一行分到不同文件的情况，除非你以及日志分析系统可以“容忍”。

方法3：（head+tail 分割）
#gzip log.txt.gz               //如不解压缩，下面请用zcat。
#wc -l log.txt                //统计一个行数
208363 log.txt
# head -n `echo $((208363/2+1))` log.txt > newloga.txt       //前x行重定向输出到一个文件中；

#tail –n `echo $((208363-208362/2-1))` log.txt >newlogb.txt //后x行重定向输出到一个文件中；

#gzip newloga.txt newlogb.txt //将两个文件进行压缩

方法4：（awk分割）
#gzip log.txt.gz#awk ‘{if (NR<120000) print $0}’ log.txt >newloga.txt#awk ‘{if (NR>=120000) print $0}’ log.txt >newlogb.txt

以上两个命令，都要遍历整个文件，所以考虑到效率，应使用合并成：

#awk ‘{if (NR<120000) print $0 >”newloga.txt”;if (NR>=120000) print $0>”newlogb.txt”}’ log.txt

总结：
以上四种方法，除了dd之外的三种方式都可以很好的整行分割日志文件。进行分割时，应考虑在读一次文件的同时完成，如不然，按下面的方式分割：
Cat log.txt| head –12000 >newloga.txt
Cat log.txt | tail –23000 >newlogb.txt
如用此方法分割文件的后一部分，那么执行第二行命令文件时，前x行是白白读一遍的，执行的效率将很差，如文件过大，还可能出现内存不够的情况。