squid 日志文件 access.log 1.时间戳 请求完成时间,以Unix 纪元(UTC 1970-01-01 00:00:00)以来的秒数表示,它是毫秒级的。squid 使用这种格式而不是人工可读的时间格式,是为了简化某些日志处理程序的工作。 可以使用一个简单的perl 命令来转化Unix 时间戳到本地时间,例如: perl -pe 's/^\d+\.\d+/localtime($&)/e;' access.log 2.响应时间 对 HTTP 事务来说,该域表明squid 花了多少时间来处理请求。在squid 接受到HTTP 请求时开始计时,在响应完全送出后计时终止。响应时间是毫秒级的。 对 ICP 查询来说,响应时间通常是0。这是因为squid 回答ICP 查询非常迅速。甚至,squid 在接受到ICP查询和发送完响应之间,不会更新进程时钟。 尽管时间值是毫秒级的,但是精度可能是10 毫秒。在squid 负载繁重时,计时变得没那么精确。 3.客户端地址 该域包含客户端的IP 地址,或者是主机名--假如激活了log_fqdn。出于安全或隐私的理由,你可能需要使用client_netmask 指令来掩盖客户端地址的一部分。然而,这样让来自同一客户端的组请求变得不可能。 4.结果/状态码 该域包含2 个 token,以斜杠分隔。第一个token 叫结果码,它把协议和事务结果(例如TCP_HIT 或UDP_DENIED)进行归类。这些是squid 专有的编码,在13.2.1 节里有定义。以TCP_开头的编码指HTTP 请求,以UDP_开头的编码指ICP 查询。 第 2 个 token 是 HTTP 响应状态码(例如200,304,404 等)。状态码通常来自原始服务器。在某些情形下,squid 可能有义务自己选择状态码。这些编码在HTTP 的 RFC 里定义,在随后的Table 13-1 里有概述。 5.传输size 该域指明传给客户端的字节数。严格的讲,它是squid 告诉TCP/IP 协议栈去发送给客户端的字节数。这就是说,它不包括TCP/IP 头部的overhead。也请注意,传输size 正常来说大于响应的Content-Length 。传输 size 包括了HTTP 响应头部,然而Content-Length不包括。 传输size 可用于近似的带宽使用分析,但并非精确的HTTP 实体size 计算。假如需要了解响应的Content-Length,可在store.log里找到它。 6.请求方式 该域包含请求方式。因为squid 客户端可能使用ICP 或 HTTP ,请求方式就可能是HTTP-或 ICP-这 2 种。最普通的HTTP 请求方式是GET。 ICP 查询总以ICP_QUERY 的形式被记载。请见6.1.2.8 节关于squid 了解的HTTP 方式列表。 7.URI 该域包含来自...
