关注Squid代理服务器日志

崔凯

  Linux网络管理员应当尽量记录所有日志，这些日志会记录所有异常访问的线索。网络日志不是用来应付检查，而且它能够帮助你更好地从事网络管理工作。它记录了系统每天发生的各种各样的事情，包括哪些用户曾经或 者正在使用系统，可以通过日志来检查错误发生的原因，更重要的是在系统受到黑客攻击后，日志可以记录下攻击者留下的痕迹，通过查看这些痕迹，系统管理员可以发现黑客攻击的某些手段以及特点，从而能够进行处理工作，为抵御下一次攻击做好准备。   1.Squid日志格式    squid拥有完善的日志系统，但是对用户来说，以下的几个日志文件具有重要的意义：    access.log
    该文件主要包含了客户访问的相关信息，如客户机的i p地址，访问的站点，访问的流量大小等等。一般的squid日志分析程序主要是基于该文件的。    cache.log
    该文件包含着squid服务进程的相关信息，如启动的状态，错误信息等等。    store.log
    该文件包含缓存中存储对象的相关信息，如对象存储的时间，对象的大小，对象超期的时间等等。    2.分析access.log日志文件    access.log日志文件的格式说明    由于access.log文件是最重要的一个日志文件，很多s q u i d的日志分析程序都是围绕该文件编写的（如计费，流量分析，热门站点等），所以在这里我们就着重讲述一下该日志文件的格式。access.log可以有两种基本的格式，一种native（原始日志文件）日志文件格式，另外一种是common（普通日志文件）日志文件格式。common日志文件格式包含的信息要比native日志文件格式来得少，并且native日志文件包含着许多管理员感兴趣的信息。默认时，squid采用native日志文件格式。如果要切换到common日志文件格式，可以更改emulate _ httpd _ log选项为on。    native日志文件格式如下所示：    time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type   
图10 子段说明    3. 使用Linux命令    如果我们仅仅需要查看某一个字段，可以用awk命令，它把一个记录行分割成多个字段，我们使用参数传回需要的字段。命令如下：
    　　
   
  # tail -f /var/log/squid/access.log | awk '{print$3 " " $8 " " $7}'
    这里选择的是客户访问时间和用户请求所花费的时间，显示见图11：      
图11 查看客户访问时间和用户请求所花费的时间    这种方式的优点是实时性强，显示的是当前正在访问的记录的情况。    4.使用专业软件分析    事实上， squid 已经有众多的日志分析软件了，而且大多是免费的，您可以依照自己的喜好来加以安装与分析你的 squid代理服务器。    pwebstatus(http://martin.gleeson.com/pwebstats
    webalizer（http://www.mrunix.net/webalizer/
    squid-graph（http://squid-graph.securlogic.com/
    squidsites（http://www.stefanopassiglia.com/downloads.htm
    sarg（http://sarg.sourceforge.net/    Webalizer工作方式不同于Linux命令，这个软件主要侧重于信息的汇总，如带宽、输入输出量，用于比较在不同的时间段网络的使用情况。可以从站点http://www.mrunix.net/webalizer/download.html下载，当前稳定版本是 2.01-10，提供RPM包和tar包格式的下载。Webalizer的配置文件是webalizer.conf，在/etc/目录下，安装后产生可执行命令webalizer，当命令执行时，寻找webalizer.conf配置文件，产生相应的输出。webalizer.conf的配置比较简单，主要是指定squid日志文件的目录位置及产生报告的输出目录，主要参数如下：“LogFile /var/log/squid/access.log”表示squid日志文件目录；“LogType squid”表示Webalizer报告文件的输出类型；“OutputDir /var/www/html/usage_squid/ ”表示报告文件的输出目录。    下面建立目录并且复制文件：
   #mkdir  /var/www/html/usage_squid/
    #cp msfree.png webalizer.png  /var/www/html/usage_squid/
    配置文件修改完毕以后，需要定时webalizer，每天生成当日的统计分析。以root身份运行crontab -e进入定时运行任务编辑状态，加入如下任务：   
  $ 5 0 * * * /usr/bin/webalizer -f /etc/webalizer.squid.conf
    这样定义在凌晨00:05对squid的日志进行统计分析。可以使用浏览器查看。方法：http://IP地址或者域名/usage_quid 。