專案的一個需求是解析nginx的日誌檔案。
簡單的整理如下:
日誌規則描述
首先要明確自己的Nginx的日誌格式,這裡採用預設Nginx日誌格式:
1 2 3 |
log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; |
其中一條真實記錄樣例如下:
1 |
172.22.8.207 - - [16/Dec/2014:17:57:35 +0800] "GET /report?DOmjjuS6keWJp+WculSQAgdUkAIPODExMzAwMDJDN0FC HTTP/1.1" 200 0 "-" "XXXXXXX/1.0.16; iPhone/iOS 8.1.2; ; 8DA77E2F91D0" |
其中,客戶端型號資訊用XXXXXXX
代替。
專案中已經按照業務規則對Nginx日誌檔案進行了處理命名規則如下:
1 |
ID-ID-YYMMDD-hhmmss |
並且所有的日誌檔案存放在統一路徑下。
解決思路
獲取所有日誌檔案path
這裡使用Python的glob
模組來獲取日誌檔案path
1 2 3 |
import glob def readfile(path): return glob.glob(path + '*-*-*-*') |
獲取日誌檔案中每一行的內容
使用Python的linecache
模組來獲取檔案行的內容
1 2 3 |
import linecache def readline(path): return linecache.getlines(path) |
注意:linecache模組使用了快取,所以存在以下問題:
- 在使用linecache模組讀取檔案內容以後,如果檔案發生了變化,那麼需要使用
linecache.updatecache(filename)
來更新快取,以獲取最新變化。 - linecache模組使用快取,所以會耗費記憶體,耗費量與要解析的檔案相關。最好在使用完畢後執行
linecache.clearcache()
清空一下快取。
當然,作為優化,這裡可以利用生成器
來進行優化。暫且按下不表。
處理日誌條目
一條日誌資訊就是一個特定格式的字串,因此使用正規表示式
來解析,這裡使用Python的re
模組。
下面,一條一條建立規則:
規則
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
ip = r"?P[d.]*" date = r"?Pd+" month = r"?Pw+" year = r"?Pd+" log_time = r"?PS+" method = r"?PS+" request = r"?PS+" status = r"?Pd+" bodyBytesSent = r"?Pd+" refer = r"""?P [^"]* """ userAgent=r"""?P .* """ |
解析
1 2 |
p = re.compile(r"(%s) - - [(%s)/(%s)/(%s):(%s) [S]+] "(%s)?[s]?(%s)?.*?" (%s) (%s) "(%s)" "(%s).*?"" %( ip, date, month, year, log_time, method, request, status, bodyBytesSent, refer, userAgent ), re.VERBOSE) m = re.findall(p, logline) |
這樣,就可以得到日誌條目中各個要素的原始資料。
格式及內容轉化
得到日誌原始資料之後,需要根據業務要求,對原始資料進行格式及內容轉化。
這裡需要處理的內容包括:時間,request,userAgent
時間格式轉化
在日誌資訊原始資料中存在Dec
這樣的資訊,利用Python的time
模組可以方便的進行解析
1 2 3 4 5 |
import time def parsetime(date, month, year, log_time): time_str = '%s%s%s %s' %(year, month, date, log_time) return time.strptime(time_str, '%Y%b%d %H:%M:%S') |
解析request
在日誌資訊原始資料中得到的request
的內容格式為:
1 |
/report?XXXXXX |
這裡只需要根據協議取出XXXXXX
即可。
這裡仍然採用Python的re
模組
1 2 3 4 5 |
import re def parserequest(rqst): param = r"?P.*" p = re.compile(r"/report?(%s)" %param, re.VERBOSE) return re.findall(p, rqst) |
接下來需要根據業務協議解析引數內容。這裡需要先利用base64
模組解碼,然後再利用struct
模組解構內容:
1 2 3 4 5 6 |
import struct import base64 def parseparam(param): decodeinfo = base64.b64decode(param) s = struct.Struct('!x' + bytes(len(decodeinfo) - (1 + 4 + 4 + 12)) + 'xii12x') return s.unpack(decodeinfo) |
解析userAgent
在日誌資訊原始資料中userAgent資料的格式為:
1 |
XXX; XXX; XXX; XXX |
根據業務要求,只需要取出最後一項即可。
這裡採用re
模組來解析。
1 2 3 4 5 6 |
import re def parseuseragent(useragent): agent = r"?P.*" p = re.compile(r".*;.*;.*;(%s)" %agent, re.VERBOSE) return re.findall(p, useragent) |
至此,nginx日誌檔案解析基本完成。
剩下的工作就是根據業務需要,對獲得的基本資訊進行處理。
(完)