ОПРЕДЕЛЕНИЕ
Лог (компьютерный лог, компьютерный журнал регистрации событий) – это организованная в виде файла, базы данных или массива в оперативной памяти совокупность записей о событиях, зафиксированных какой-либо программой, группой программ, информационной системой. Лог ведется автоматически, без участия человека. Как правило, соблюдается принцип: одно событие – одна запись. Как правило, каждая запись снабжается меткой времени. Обычно записи сохраняются по мере их генерирования, по возможности, независимо от генерирующей их программы, чтобы они оказались доступны для изучения даже в случае сбоя или аварийного завершения программы.
Форма записей может быть произвольной, на усмотрение создателя программы или оператора, производившего ее настройку. Записи лога могут иметь более «гуманитарную» форму, то есть ориентироваться на восприятие человеком. Записи могут быть машинно-ориентированными, то есть предназначаться для легкого восприятия другой программой.
Чаще придерживаются промежуточной формы.
Ведение логов может осуществляться самóй генерирующей программой, а может быть передано специализированной (логирующей) программе, такой как «syslogd». Ведение логов (логирование) включает: запись их в соответствующий файл или базу данных, снабжение меткой времени и идентификатором источника, агрегирование (объединение одинаковых или схожих записей), своевременное удаление старых записей и т.д.
ПРИМЕРЫ
Ниже приведены образцы некоторых логов, чтобы те читатели, которые редко с ними сталкивались, чувствовали себя более уверенно при изучении дальнейшего материала.
Фрагмент лога сервера электронной почты «sendmail» версии 8.13.3:
Первые три поля каждой записи – это метка времени. Следующие два идентифицируют источник сообщений. Причем эти метки ставятся не генерирующей лог программой («sendmail»), а логирующей программой.
Оставшаяся часть сообщений принадлежит уже генерирующей программе.
Можно заметить, что записи лога группируются попарно: каждая пара записей имеет одинаковый идентификатор (группа символов после двоеточия, например, «kBEDsTLt005196»). Пара записей соответствует двум этапам обработки сообщения электронной почты – прием и отправка.
Далее приведен образец лога веб-сервера «Apache» версии 2.1.9 beta. Этот сервер ведет несколько видов логов. Ниже приводится фрагмент лог-файла «access.log» – в этом логе фиксируются обработанные запросы протокола HTTP:
Оставшаяся часть сообщений принадлежит уже генерирующей программе.
Можно заметить, что записи лога группируются попарно: каждая пара записей имеет одинаковый идентификатор (группа символов после двоеточия, например, «kBEDsTLt005196»). Пара записей соответствует двум этапам обработки сообщения электронной почты – прием и отправка.
Далее приведен образец лога веб-сервера «Apache» версии 2.1.9 beta. Этот сервер ведет несколько видов логов. Ниже приводится фрагмент лог-файла «access.log» – в этом логе фиксируются обработанные запросы протокола HTTP:
На данном веб-сайте включена авторизация. Как можно видеть, в 1-й и 10-й записях третье поле содержит «-», то есть логин и пароль пользователя не были переданы серверу. Соответственно, код ответа веб-сервера в этих случаях – 401 (см. предпоследнее поле). Последующие записи уже содержат имя пользователя (в третьем поле – «fnn» и «amak»). То есть, получив в первый раз ответ 401, браузер предлагает пользователю ввести логин и пароль и последующие запросы уже снабжает аутентификационной информацией, отчего они проходят успешно (код 200).
В большинстве записей код ответа веб-сервера 200, что означает успешную обработку. Однако можно заметить коды 500 (внутренняя ошибка сервера) и 404 (страница не найдена).
Последнее поле каждой записи указывает длину ответа веб-сервера в байтах. Как можно заметить, в случае ошибок (401, 404, 500) ответ короткий, а в случае успеха (200) более длинный, поскольку передается веб-страница.
Чтобы верно интерпретировать этот лог, нужно знать значение каждого поля записи. Нетрудно догадаться, например, что первое поле – это IP-адрес клиента, четвертое поле – это время с указанием на часовой пояс. А вот о значении последнего поля догадаться нельзя; о том, что это длина ответа, необходимо знать из документации к веб-серверу.
Лог межсетевого экрана «Netscreen», версия ОС 5.3.0:
В этом логе форма представления данных более «человечная», присутствуют метки, позволяющие легко догадаться, к чему относятся приводимые числа. Такие аббревиатуры, как proto, src_port, dst_port, src-xlated, говорят специалисту все, что нужно.
Обратите внимание, что в каждой записи присутствуют две метки времени. Одна из них после идентификатора start_time ставится генерирующей лог программой (ОС межсетевого экрана), а другая – в начале строки логирующей программой (syslogd).
