squid的日志分析
有台squid的某一天的日志需要分析
于是我把log当到某台闲一点的机器上
然后google一把
看见都说用什么sarg(Squid Analysis Report Generator)分析squid的log
于是我下了个sarg
第一次,在我的桌面pc上跑
结果把我的机器跑死了
第二次,在服务器上跑
由于没有用”-w“参数指定临时目录
缺省用/tmp做临时目录
但是/tmp区只有2G大小
而log有5个多G
于是又失败了
第三遍
找了个大目录用”-w“参数指定来跑
还开了个screen,还加了”-e“参数,让跑完直接把结果发到信箱
还加了”-x“这个debug参数
看见系统在跑的百分比不断地增加
心里比较有成就感
感觉这次应该差不多了吧
晚上在家上网一查信,居然没有?
再上机器一看
原来又失败了。
这回是这个错:”Too many links.”
是由于系统在”-w“参数指定的临时文件目录下的sarg目录下建的目录超过了30000个造成的
这个可不好调,要调的话需要重编kernel
而且一个目录下的文件数太大了也会严重影响性能
我想为什么sarg就这么傻呢
要建的目录太多就别放到一个sarg下,放到sarg1、sarg2……好不好
或者支持指定几个临时文件目录也行啊
第四遍
我终于还是装了个传说中的webalizer
跑的时候把logtype设为squid
结果跑的时候全都是:“Error: Skipping record (bad date)”
而且全都是1970年的什么时间
到最后是一条合格的纪录都没有
显然又失败了
我想可能是因为虽然是squid的log
但这个log是打开了emulate_httpd_log的log
而按照webalizer文档
只有squid native的log才要把logtype设为squid
于是把logtype改成缺省的clf
再开始跑第五遍
……
到发稿时为止
第五遍尚未跑完
却发现了一个问题
系统在不断地反解ip到域名
查了下文档
好像这个是在编译的时候设定的
我晕
我的webalizer是rpm装的……
先跑着吧
……
Discussion Area - Leave a Comment