Apache的日志access_log分析当网站出问题时分析日志，第一步一般都不会是看访问日志。但是也不能忽视它，在访问日志中记录了很多的客户信息，如果你有心，可以从这个日志中获得很多有用的信息！访问日志access_log记录了所有对Web服务器的访问活动。正如其名字所示，访问日志access_log记录了所有对Web服务器的访问活动。下面是访问日志中一个典型的记录：10.1.1.95--[18/Mar/2005:12:21:42+0800]"GET/stats/awstats.pl?config=e800HTTP/1.1"200899"http://10.1.1.1/pv/""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;Maxthon)"这行内容由9项构成，上面的例子中有两项空白，但整行内容仍旧分成了9项。第一项信息是远程主机的IP地址。如果你想知道这个IP地址的域名，可通过nslookup或者host命令来查看。如果你想让Apache自己找出这个IP的主机名，可以打开这个开关：HostnameLookups。（建议最好不要打开，会影响Apache记录服务器日志的速度）第二项是空白，用一个"-"占位符替代。实际上绝大多数时候这一项都是如此。这个位置用于记录浏览者的标识，这不只是浏览者的登录名字，而是浏览者的email地址或者其他唯一标识符。这个信息由identd返回，或者直接由浏览器返回。很早的时候，那时Netscape0.9还占据着统治地位，这个位置往往记录着浏览者的email地址。然而，由于有人用它来收集邮件地址和发送垃圾邮件，所以它未能保留多久，很久之前市场上几乎所有的浏览器就取消了这项功能。因此，到了今天，我们在日志记录的第二项看到email地址的机会已经微乎其微了。第三项也是空白。这个位置用于记录浏览者进行身份验证时提供的名字。当然，如果网站的某些内容要求用户进行身份验证，那么这项信息是不会空白的。但是，对于大多数网站来说，日志文件的大多数记录中这一项仍旧是空白的。日志记录的第四项是请求的时间。这个信息用方括号包围，而且采用所谓的"公共日志格式"或"标准英文格式"。因此，上例日志记录表示请求的时间是2005年3月18日12:21:42。时间信息最后的"+0800"表示服务器所处时区位于UTC之后的8小时。日志记录的第五项信息或许是整个日志记录中最有用的信息，它告诉我们服务器收到的是一个什么样的请求。该项信息的典型格式是"METHODRESOURCEPROTOCOL"，即"方法资源协议"。RESOURCE是指浏览者向服务器请求的文档，或URL。在这个例子中，浏览者请求的是"/stats/awstats.pl?config=e800"。在上例中，METHOD是GET，其他经常可能出现的METHOD还有POST和HEAD。此外还有不少可能出现的合法METHOD，但主要就是这三种。PROTOCOL通常是HTTP，后面再加上版本号。日志记录的第六项信息是HTTP状态代码。它告诉我们请求是否成功，或者遇到了什么样的错误。大多数时候，这项值是200，它表示服务器已经成功地响应浏览器的请求，一切正常。一般地说，2xx-成功这类状态代码表明服务器成功地接受了客户端请求。常见：200（确定。客户端请求已成功）3xx-重定向客户端浏览器必须采取更多操作来实现请求。例如，浏览器可能不得不请求服务器上的不同的页面，或通过代理服务器重复该请求。常见：301（永久定向）、302（临时定向）4xx-客户端错误发生错误，客户端似乎有问题。例如，客户端请求不存在的页面，客户端未提供有效的身份验证信息。常见：404（未找到，不存在）5xx-服务器错误更多在wiki：HYPERLINK"http://zh.wikipedia.org/wiki/HTTP%E7%8A%B6%E6%80%81%E7%A0%81"http://zh.wikipedia.org/wiki/HTTP%E7%8A%B6%E6%80%81%E7%A0%81日志记录的第七项表示发送给客户端的总字节数。它告诉我们传输是否被打断（即，该数值是否和文件的大小相同）。把日志记录中的这些值加起来就可以得知服务器在一天、一周或者一月内发送了多少数据。日志记录的第八项记录的是客户在提出请求时所在的目录或URL。这次的是"http://10.1.1.1/pv/"即10.1.1.1的pv目录下的首页。大多数情况下，首页会是在httpd.conf中DocumentRoot指令后面规定的那些类型和名字的web文件。日志记录的第九项表示客户端的详细信息，这样你就不难理