Tomcat访问日志浅析

常使用web服务器的朋友大都了解，一般的web server有两部分日志：
    一是运行中的日志，它主要记录运行的一些信息，尤其是一些异常错误日志信息
    二是访问日志信息，它记录的访问的时间，IP，访问的资料等相关信息。
    
现在我来和大家介绍一下利用tomcat产生的访问日志数据，我们能做哪些有效的分析数据？

首先是配置tomcat访问日志数据，默认情况下访问日志没有打开，配置的方式如下：
    编辑 ${catalina}/conf/server.xml文件.注:${catalina}是tomcat的安装目录
    把以下的注释(<!-- -->)去掉即可。
            <!--
        <Valve className="org.apache.catalina.valves.AccessLogValve"
                 directory="logs"  prefix="localhost_access_log." suffix=".txt"
                 pattern="common" resolveHosts="false"/>
        -->
    其中 directory是产生的目录 tomcat安装${catalina}作为当前目录
    pattern表示日志生产的格式，common是tomcat提供的一个标准设置格式。其具体的表达式为 %h %l %u %t "%r" %s %b
    但本人建议采用以下具体的配置，因为标准配置有一些重要的日志数据无法生。
        %h %l %u %t "%r" %s %b %T  
具体的日志产生样式说明如下(从官方文档中摘录)：
    * %a - Remote IP address
    * %A - Local IP address
    * %b - Bytes sent, excluding HTTP headers, or '-' if zero
    * %B - Bytes sent, excluding HTTP headers
    * %h - Remote host name (or IP address if resolveHosts is false)
    * %H - Request protocol
    * %l - Remote logical username from identd (always returns '-')
    * %m - Request method (GET, POST, etc.)
    * %p - Local port on which this request was received
    * %q - Query string (prepended with a '?' if it exists)
    * %r - First line of the request (method and request URI)
    * %s - HTTP status code of the response
    * %S - User session ID
    * %t - Date and time, in Common Log Format
    * %u - Remote user that was authenticated (if any), else '-'
    * %U - Requested URL path
    * %v - Local server name
    * %D - Time taken to process the request, in millis
    * %T - Time taken to process the request, in seconds

There is also support to write information from the cookie, incoming header, the Session or something else in the ServletRequest. It is modeled after the apache syntax:

    * %{xxx}i for incoming headers
    * %{xxx}c for a specific cookie
    * %{xxx}r xxx is an attribute in the ServletRequest
    * %{xxx}s xxx is an attribute in the HttpSession


现在我们回头再来看一下下面这个配置 %h %l %u %t "%r" %s %b %T 生产的访问日志数据，我们可以做哪些事？
先看一下，我们能得到的数据有:
    * %h 访问的用户IP地址
    * %l 访问逻辑用户名，通常返回'-'
    * %u 访问验证用户名，通常返回'-'
    * %t 访问日时
    * %r 访问的方式(post或者是get)，访问的资源和使用的http协议版本
    * %s 访问返回的http状态
    * %b 访问资源返回的流量
    * %T 访问所使用的时间
    
有了这些数据，我们可以根据时间段做以下的分析处理(图片使用jfreechart工具动态生成)：
  * 独立IP数统计
  * 访问请求数统计
  * 访问资料文件数统计
  * 访问流量统计
  * 访问处理响应时间统计
  * 统计所有404错误页面
  * 统计所有500错误的页面
  * 统计访问最频繁页面
  * 统计访问处理时间最久页面
  * 统计并发访问频率最高的页面

常使用web服务器的朋友大都了解，一般的web server有两部分日志：
    一是运行中的日志，它主要记录运行的一些信息，尤其是一些异常错误日志信息
    二是访问日志信息，它记录的访问的时间，IP，访问的资料等相关信息。
    
现在我来和大家介绍一下利用tomcat产生的访问日志数据，我们能做哪些有效的分析数据？

首先是配置tomcat访问日志数据，默认情况下访问日志没有打开，配置的方式如下：
    编辑 ${catalina}/conf/server.xml文件.注:${catalina}是tomcat的安装目录
    把以下的注释(<!-- -->)去掉即可。
            <!--
        <Valve className="org.apache.catalina.valves.AccessLogValve"
                 directory="logs"  prefix="localhost_access_log." suffix=".txt"
                 pattern="common" resolveHosts="false"/>
        -->
    其中 directory是产生的目录 tomcat安装${catalina}作为当前目录
    pattern表示日志生产的格式，common是tomcat提供的一个标准设置格式。其具体的表达式为 %h %l %u %t "%r" %s %b
    但本人建议采用以下具体的配置，因为标准配置有一些重要的日志数据无法生。
        %h %l %u %t "%r" %s %b %T  
具体的日志产生样式说明如下(从官方文档中摘录)：
    * %a - Remote IP address
    * %A - Local IP address
    * %b - Bytes sent, excluding HTTP headers, or '-' if zero
    * %B - Bytes sent, excluding HTTP headers
    * %h - Remote host name (or IP address if resolveHosts is false)
    * %H - Request protocol
    * %l - Remote logical username from identd (always returns '-')
    * %m - Request method (GET, POST, etc.)
    * %p - Local port on which this request was received
    * %q - Query string (prepended with a '?' if it exists)
    * %r - First line of the request (method and request URI)
    * %s - HTTP status code of the response
    * %S - User session ID
    * %t - Date and time, in Common Log Format
    * %u - Remote user that was authenticated (if any), else '-'
    * %U - Requested URL path
    * %v - Local server name
    * %D - Time taken to process the request, in millis
    * %T - Time taken to process the request, in seconds

There is also support to write information from the cookie, incoming header, the Session or something else in the ServletRequest. It is modeled after the apache syntax:

    * %{xxx}i for incoming headers
    * %{xxx}c for a specific cookie
    * %{xxx}r xxx is an attribute in the ServletRequest
    * %{xxx}s xxx is an attribute in the HttpSession


现在我们回头再来看一下下面这个配置 %h %l %u %t "%r" %s %b %T 生产的访问日志数据，我们可以做哪些事？
先看一下，我们能得到的数据有:
    * %h 访问的用户IP地址
    * %l 访问逻辑用户名，通常返回'-'
    * %u 访问验证用户名，通常返回'-'
    * %t 访问日时
    * %r 访问的方式(post或者是get)，访问的资源和使用的http协议版本
    * %s 访问返回的http状态
    * %b 访问资源返回的流量
    * %T 访问所使用的时间
    
有了这些数据，我们可以根据时间段做以下的分析处理(图片使用jfreechart工具动态生成)：
  * 独立IP数统计
  * 访问请求数统计
  * 访问资料文件数统计
  * 访问流量统计
  * 访问处理响应时间统计
  * 统计所有404错误页面
  * 统计所有500错误的页面
  * 统计访问最频繁页面
  * 统计访问处理时间最久页面
  * 统计并发访问频率最高的页面



























分析工具包括两大部分，一个是后台解释程序，每天执行一次对后台日志数据进行解析后保存到数据库中。
第二个是显示程序，从数据库中查询数据并生成相应的图表信息。

Tomcat的访问日志是靠org.apache.catalina.valves.AccessLogValve来控制的，你可以修改$tomcat/conf/server.xml来启用它 ($tomcat是Tomcat安装的目录)。AccessLogValve默认应该是注释掉的，简单的将其注释去掉，然后重启Tomcat就可以了。

以下是Tomcat默认的配置：

<Valve className=“org.apache.catalina.valves.AccessLogValve”
directory=“logs” prefix=“localhost_access_log.” suffix=“.txt”
pattern=“common” resolveHosts=“false”/>

你可以设置日志保存的目录(directory)，日志的文件名的前缀(prefix)，后缀(suffix)和日志的具体格式。保存目录，文件名的前缀、后缀都很简单，一般默认设置也就可以了。resolveHost出于性能的考虑，一般也设为false. 但访问日志的格式(pattern)却有很多的选项供你选择。以下列出了一些基本的日志格式项：

• %a – 远程主机的IP (Remote IP address)

• %A – 本机IP (Local IP address)

• %b – 发送字节数，不包含HTTP头，0字节则显示 ‘-’ (Bytes sent, excluding HTTP headers, or ‘-’ if no bytes
  were sent)

• %B – 发送字节数，不包含HTTP头 (Bytes sent, excluding HTTP headers)

• %h – 远程主机名 (Remote host name)

• %H – 请求的具体协议，HTTP/1.0 或 HTTP/1.1 (Request protocol)

• %l – 远程用户名，始终为 ‘-’ (Remote logical username from identd (always returns ‘-’))

• %m – 请求方式，GET, POST, PUT (Request method)

• %p – 本机端口 (Local port)

• %q – 查询串 (Query string (prepended with a ‘?’ if it exists, otherwise
  an empty string)

• %r – HTTP请求中的第一行 (First line of the request)

• %s – HTTP状态码 (HTTP status code of the response)

• %S – 用户会话ID (User session ID)

• %t – 访问日期和时间 (Date and time, in Common Log Format format)

• %u – 已经验证的远程用户 (Remote user that was authenticated

• %U – 请求的URL路径 (Requested URL path)

• %v – 本地服务器名 (Local server name)

• %D – 处理请求所耗费的毫秒数 (Time taken to process the request, in millis)

• %T – 处理请求所耗费的秒数 (Time taken to process the request, in seconds)

你可以用以上的任意组合来定制你的访问日志格式，也可以用下面两个别名common和combined来指定常用的日志格式：

• common – %h %l %u %t "%r" %s %b

• combined -
  %h %l %u %t "%r" %s %b "%{Referer}i" "%{User-Agent}i"

另外你还可以将cookie, 客户端请求中带的HTTP头(incoming header), 会话(session)或是ServletRequest中的数据都写到Tomcat的访问日志中，你可以用下面的语法来引用。

• %{xxx}i – 记录客户端请求中带的HTTP头xxx(incoming headers)

• %{xxx}c – 记录特定的cookie xxx

• %{xxx}r – 记录ServletRequest中的xxx属性(attribute)

• %{xxx}s – 记录HttpSession中的xxx属性(attribute)

比如下面是实际的一个访问日志格式的配置：

<Valve className=“org.apache.catalina.valves.AccessLogValve”
directory=“logs” prefix=“phone_access_log.” suffix=“.txt”
pattern=“%h %l %T %t %r %s %b %{Referer}i %{User-Agent}i MSISDN=%{x-up-calling-line-id}i”resolveHosts=“false”/>

其中日志格式(pattern)指定为”%h %l %T %t %r %s %b %{Referer}i %{User-Agent}i MSISDN=%{x-up-calling-line-id}i“，则实际的访问日志中将会包括：

• %h – 远程主机名

• %l - 远程用户名，始终为 ‘-’

• %T - 处理请求所耗费的秒数

• %t – 访问日期和时间

• %r – HTTP请求中的第一行

• %s – HTTP状态码

• %b – 发送字节数，不包含HTTP头(0字节则显示 ‘-’)

• %{Referer}i – Referer URL

• %{User-Agent}i – User agent

• MSISDN=%{x-up-calling-line-id}i – 手机号

实际的访问日志如下：

xxx.xxx.xx.xxx – 0.270 [14/Jul/2008:13:10:53 +0800] POST /phone/xxx/gprs HTTP/1.1 200 91812 – SonyEricssonW890i/R1EA Profile/MIDP-2.1 Configuration/CLDC-1.1 MSISDN=11111111111

… …

xxx.xxx.xx.xxx – 0.083 [14/Jul/2008:21:20:55 +0800] POST /phone/xxx/gprs HTTP/1.1 200 404 – SonyEricssonW910i/R1FA Profile/MIDP-2.1 Configuration/CLDC-1.1 MSISDN=11111111111