quinta-feira, 17 de novembro de 2016

Entendendo a log do Squid

Agora vamos entender um pouco sobre os campos da log. Como exemplo, vamos ver um trecho do arquivo /var/log/squid/access.log.

1385485324.773     21 172.20.1.8 TCP_MISS/200 466 HEAD http://download.windowsupdate.com/v9/1/windowsupdate/b/selfupdate/WSUS3/x64/Other/wsus3setup.cab? – DIRECT/200.143.247.11 application/octet-stream
1385485324.773    694 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 70337 GET http://www.moodlelivre.com.br/images/stories/banner-propaganda/formacao_moodle.jpg – FIRST_UP_PARENT/localhost image/jpeg
1385485324.790    131 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 3992 GET http://www.moodlelivre.com.br/media/k2/users/252.jpg – DIRECT/66.7.220.108 image/jpeg
1385485324.791    147 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 4144 GET http://www.moodlelivre.com.br/media/k2/users/252.jpg – FIRST_UP_PARENT/localhost image/jpeg
1385485324.833   2714 172.20.16.89 TCP_MISS/200 1146 GET http://nxtck.com/act.php? – DIRECT/4.31.216.111 text/javascript
1385485324.833    382 172.20.100.15 TCP_REFRESH_UNMODIFIED/304 400 GET http://tag.navdmp.com/tm13574.js – DIRECT/108.168.143.94 -
1385485324.867   2748 172.20.16.89 TCP_MISS/200 1299 GET http://nxtck.com/act.php? – FIRST_UP_PARENT/localhost text/javascript
1385485324.867    416 172.20.100.15 TCP_REFRESH_UNMODIFIED/304 551 GET http://tag.navdmp.com/tm13574.js – FIRST_UP_PARENT/localhost -
1385485324.930     62 172.20.18.72 TCP_IMS_HIT/304 396 GET http://jsuol.com/c/modernizr/modernizr.js – NONE/- application/javascript
1385485324.942    109 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 400 GET http://esporte.uol.com.br/belas-da-torcida/css/styles.css? – DIRECT/200.147.68.10 -
1385485324.942     91 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 584 GET http://imguol.com/c/_layout/v1/_geral/icones/logo-uol-2.png – DIRECT/200.221.7.95 image/png
1385485324.942    207 172.20.18.72 TCP_MISS/204 629 GET http://pagead2.googlesyndication.com/pagead/gen_204? – DIRECT/173.194.118.77 text/html
1385485324.942    885 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 96585 GET http://www.moodlelivre.com.br/images/stories/banner-propaganda/banner_servidor_moodle.jpg – DIRECT/66.7.220.108 image/jpeg
1385485324.942    299 172.20.19.58 TCP_REFRESH_UNMODIFIED/304 513 GET http://ads.img.globo.com/RealMedia/ads/Creatives/globocom/174732_20131114_071048.809/300x250_enfeites_50.swf/1384431601 – DIRECT/186.192.82.180 application/x-shockwave-flash
1385485324.948    164 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 613 GET http://www.moodlelivre.com.br/templates/ja_nex/images/bg-menu.gif – DIRECT/66.7.220.108 image/gif
1385485324.948    172 172.20.18.72 TCP_MISS/204 629 GET http://pagead2.googlesyndication.com/pagead/gen_204? – DIRECT/173.194.118.77 text/html
1385485324.960     10 172.20.250.19 TCP_IMS_HIT/304 372 GET http://www.google-analytics.com/ga.js – NONE/- text/javascript
1385485324.965    170 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 551 GET http://esporte.uol.com.br/belas-da-torcida/css/styles.css? – FIRST_UP_PARENT/localhost -
1385485324.965    133 172.20.18.72 TCP_REFRESH_UNMODIFIED/304 845 GET http://imguol.com/c/_layout/v1/_geral/icones/logo-uol-2.png – FIRST_UP_PARENT/localhost image/png
1385485324.965    908 172.20.16.75 TCP_CLIENT_REFRESH_MISS/200 96737 GET http://www.moodlelivre.com.br/images/stories/banner-propaganda/banner_servidor_moodle.jpg – FIRST_UP_PARENT/localhost image/jpeg

O primeiro campo é o timestamp em que a transmissão foi completada. Para converter esse horário, você pode usar o comando abaixo.

# date –date=’@1385485324.942′


O segundo campo é o tempo, em milisegundos, que a solicitação demorou.

O terceiro campo é o cliente que fez a requisição.

O quarto campo é a ação que o proxy tomou. As principais ações são:
TCP_HIT : A solicitação estava em cache;
TCP_MISS: A solicitação não estava em cache;
TCP_DENIED: A requisição foi negada.

O quinto campo é o tamanho, em bytes, da requisição.

O sexto campo é o método usado, que pode ser GET, POST, PUT, etc.

O sétimo campo é a URL solicitada.

O oitavo campo contém o nome do cliente. Por padrão ela vai mostrar “-”, a menos que “ident_lookup on” esteja configurado no arquivo /etc/squid3/squid.conf.

O nono campo contém informações que dizem se o proxy é quem está fazendo essa solicitação diretamente, ou se essa requisição veio de outro proxy. Pode também conter o ip de destino da requisição.

O último campo diz o tipo de arquivo baixado (txt, html, imagem, etc).

Para mais informações, consulte o site http://www.linofee.org/~jel/proxy/Squid/accesslog.shtml