Para administrar de manera efectiva un servidor web, es necesario tener registros de la actividad y el rendimiento del servidor así como de cualquier problema que haya podido ocurrir durante su operación. El servidor HTTP Apache ofrece capacidades muy amplias de registro de este tipo de información. Este documento explica cómo configurar esas capacidades de registro, y cómo comprender qué información contienen los ficheros de registro.
Cualquiera que tenga permisos de escritura sobre el directorio en el que Apache esté escribiendo un archivo de registro puede con casi toda seguridad tener acceso al identificador de usuario con el que se inició el servidor, normalmente root. NO le de a nadie permisos de escritura sobre el directorio en que se almacenan los ficheros de registro sin tener en cuenta las consecuencias; consulte los consejos de seguridad para obtener más información.
Además, los ficheros de registro pueden contener información suministrada directamente por el cliente, sin sustituir. Es posible por tanto que clientes con malas intenciones inserten caracteres de control en los ficheros de registro. Por ello es necesario tener cuidado cuando se procesan los ficheros de registro originales.
El registro de errores del servidor, cuyo nombre y
ubicación se especifica en la directiva
El registro de errores se escribe normalmente en un fichero
(cuyo nombre suele ser error_log
en sistemas Unix y
error.log
en Windows y OS/2). En sistemas Unix
también es posible hacer que el servidor envíe los
mensajes de error al syslog
o pasarlos a un programa.
El formato del registro de errores es relativamente libre y descriptivo. No obstante, hay cierta información que se incluye en casi todas las entradas de un registro de errores. Por ejemplo, este es un mensaje típico.
El primer elemento de la entrada es la fecha y la hora del
mensaje. El segundo elemento indica la gravedad del error que se
ha producido. La directiva
En el registro de errores puede aparecer una amplia variedad de
mensajes diferentes. La mayoría tienen un aspecto similar al
del ejemplo de arriba. El registro de errores también
contiene mensaje de depuración de scripts CGI. Cualquier
información escrita en el stderr
por un script
CGI se copiará directamente en el registro de errores.
El registro de errores no se puede personalizar añadiendo o quitando información. Sin embargo, las entradas del registro de errores que se refieren a determinadas peticiones tienen sus correspondientes entradas en el registro de acceso. El ejemplo de arriba se corresponde con una entrada en el registro de acceso que tendrá un código de estado 403. Como es posible personalizar el registro de acceso, puede obtener más información sobre los errores que se producen usando ese registro también.
Si hace pruebas, suele ser de utilidad monitorizar de forma continua el registro de errores para comprobar si ocurre algún problema. En sistemas Unix, puede hacer esto usando:
El servidor almacena en el registro de acceso información
sobre todas las peticiones que procesa. La ubicación del
fichero de registro y el contenido que se registra se pueden
modificar con la directiva
Por supuesto, almacenar información en el registro de acceso es solamente el principio en la gestión de los registros. El siguiente paso es analizar la información que contienen para producir estadísticas que le resulten de utilidad. Explicar el análisis de los registros en general está fuera de los propósitos de este documento, y no es propiamente una parte del trabajo del servidor web. Para más información sobre este tema, y para aplicaciones que analizan los registros, puede visitar Open Directory o Yahoo.
Diferentes versiones de Apache httpd han usado otros
módulos y directivas para controlar la información que
se almacena en el registro de acceso, incluyendo mod_log_referer,
mod_log_agent, y la directiva TransferLog
. Ahora la
directiva
El formato del registro de acceso es altamente configurable. El
formato se especifica usando una cadena de caracteres de formato
similar a las de printf(1) en lenguaje C. Hay algunos ejemplos en
las siguientes secciones. Si quiere una lista completa de los
posibles contenidos que se pueden incluir, consulte la
documentació sobre las cadenas de caracteres
de formato del
Una configuración típica del registro de acceso podría tener un aspecto similar a este.
Con esto se define el apodo (nickname) common
y se
le lo asocia con un determinado formato. El formato consiste en
una serie de directivas con tantos por ciento, cada una de las
cuales le dice al servidor que registre una determinada
información en particular. El formato también puede
incluir caracteres literales, que se copiarán directamente
en el registro. Si usa el caracter comillas ("
)
debe anteponerle una barra invertida para evitar que sea
interpretado como el final la cadena de caracteres a
registrar. El formato que especifique también puede
contener los caracteres de control especiales "\n
"
para salto de línea y "\t
" para tabulador.
La directiva
La configuración de arriba escribirá las entradas en el registro con el formato conocido como Formato Común de Registro (CLF). Este formato estándar lo pueden generar muchos servidores web diferentes y lo pueden leer muchos de los progrmas que analizan registros. Las entradas de un fichero de registro que respetan ese formato común tienen una aparariencia parecida es esta:
Cada una de las partes de la entrada se explican a continuaci#243;n.
127.0.0.1
(%h
)On
, el servidor intentará determinar el
nombre del host y registrar ese nombre en lugar de la
dirección IP. Sin embargo, no se recomienda que use esta
configuración porque puede ralentizar significativamente
las operaciones del servidor. En su lugar, es mejor usar un
programa que realice esta tarea posteriormente sobre el
registro, por ejemplo -
(%l
)identd
en la máquina
del cliente. Esta información es muy poco fiable y no
debería ser usada nunca excepto con clientes que
estén sometidos a controles muy estrictos en redes
internas. Apache httpd ni siquiera intenta recoger esa
información a menos que la directiva On
.frank
(%u
)REMOTE_USER
. Si el
código de estado de la petición (ver abajo) es 401,
entonces no debe confiar en la veracidad de ese dato porque el
usuario no ha sido aún autentificado. Si el documento no
está protegido por contraseña, se mostrará un
guión "-
" en esta entrada.[10/Oct/2000:13:55:36 -0700]
(%t
)
[día/mes/año:hora:minuto:segundo zona_horaria]
day = 2*digit
month = 3*letter
year = 4*digit
hour = 2*digit
minute = 2*digit
second = 2*digit
zone = (`+' | `-') 4*digit
%{format}
en el formato a usar en el registro,
donde format
se sustituye como se haría al
usar strftime(3)
de la librería
estándar de C.
"GET /apache_pb.gif HTTP/1.0"
(\"%r\"
)GET
. Segundo, el cliente
ha hecho una petición al recurso
/apache_pb.gif
, y tercero, el cliente uso el
protocolo HTTP/1.0
. También es posible
registrar una o más partes de la línea de
petición independientemente. Por ejemplo, el formato
"%m %U%q %H
" registrará el método, ruta,
cadena de consulta y protocolo, teniendo exactamente el mismo
resultado que "%r
".200
(%>s
)2326
(%b
)-
". Para registrar "0
" en ese caso,
use %B
en su lugar.Otro formato usado a menudo es el llamado Formato de Registro Combinado. Este formato puede ser usado como sigue.
Es exactamente igual que Formato Común de Registro, pero
añade dos campos. Cada campo adicional usa la directiva
%{header}i
, donde header puede
ser cualquier cabecera de petición HTTP. El registro de
acceso cuando se usa este formato tendrá este aspecto:
Los campos adicionales son:
"http://www.example.com/start.html"
(\"%{Referer}i\"
)/apache_pb.gif
)."Mozilla/4.08 [en] (Win98; I ;Nav)"
(\"%{User-agent}i\"
)Para crear varios registros de acceso solamente tiene que
especificar varias directivas ReferLog
y AgentLog
.
Este ejemplo también muestra que no es necesario definir un
"apodo" con la directiva
Algunas veces es más conveniente excluir determinadas
entradas del registro de acceso en función de las
características de la petición del cliente. Puede
hacer esto fácilmente con la ayuda de variables de entorno. Primero, debe
especificar una variable de entorno que indique que la
petición cumple determinadas condiciones. Esto se hace
normalmente con env=
de la directiva
Como otro ejemplo, considere registrar las peticiones de los angloparlantes en un fichero de registro, y el resto de peticiones en un fichero de registro diferente.
Aunque acabamos de mostar que el registro condicional es muy potente y flexible, no es la única manera de controlar los contenidos de los ficheros de registro. Los ficheros de registro son más útiles cuanta más información sobre la actividad del servidor contengan. A menudo es más fácil eliminar las peticiones que no le interesen procesando posteriormente los ficheros de registro originales.
Incluso en un servidor con una actividad moderada, la cantidad de información almacenada en los ficheros de registro es muy grande. El registro de acceso crece normalmente en 1MB por cada 10.000 peticiones. Por lo tanto, es necesario rotar periódicamente los registros moviendo o borrando su contenido. Esto no se puede hacer con el servidor funcionando, porque Apache continuará escribiendo en el antiguo registro mientras que el archivo esté abierto. En lugar de esto, el servidor debe ser reiniciado después de mover o borrar los ficheros de registro para que se abran nuevos ficheros de registro.
Usando un reinicio graceful, se le puede indicar al servidor que abra nuevos ficheros de registro sin perder ninguna petición siendo servida o en espera de algún cliente. Sin embargo, para hacer esto, el servidor debe continuar escribiendo en los ficheros de registro antiguos mientras termina de servir esas peticiones. Por lo tanto, es preciso esperar algún tiempo después del reinicio antes de realizar ninguna operación sobre los antiguos ficheros de registro. Una situación típica que simplemente rota los registros y comprime los registros antiguos para ahorrar espacio es:
Otra manera de realizar la rotación de los registros es usando ficheros de registro redireccionados (piped logs) de la forma en que se explica en la siguiente sección.
Apache httpd es capaz de escribir la información del
registro de acceso y errores mediante una redirección a otro
proceso, en lugar de directamente a un fichero. Esta capacidad
incrementa de forma muy importante la flexibilidad de registro,
sin añadir código al servidor principal. Para escribir
registros a una redirección, simplemente reemplace el nombre
de fichero por el carácter "|
", seguido por el
nombre del ejecutable que debería aceptar las entradas de
registro por su canal de entrada estándar. Apache
iniciará el proceso de registro redireccionado cuando se
inicie el servidor, y lo reiniciará si se produce algún
error irrecuperable durante su ejecución. (Esta última
funcionalidad es la que hace que se llame a esta técnica
"registro redireccionado fiable".)
Los procesos de registros son engendrados por el proceso padre de Apache httpd, y heredan el identificador de usuario de ese proceso. Esto significa que los programas a los que se redireccionan los registros se ejecutan normalmente como root. Es por ello que es muy importante que los programas sean simples y seguros.
Un uso importante de los registros redireccionados es permitir
la rotación de los registros sin tener que reiniciar el
servidor. El servidor Apache HTTP incluye un programa simple
llamado
Tenga en cuenta que las comillas se usan para abarcar el comando entero que será invocado por la redirección. Aunque estos ejemplos son para el registro de acceso, la misma técnica se puede usar para el registro de errores.
Otro programa para la rotación de los registros mucho más flexible llamado cronolog está disponible en un sitio web externo.
Como ocurre con el registro condicional, la redirección de registros es una herramienta muy potente, pero no deben ser usados si hay disponible una solución más simple de procesado posterior de los registros fuera de línea.
Cuando se está ejecutando un servidor con muchos hosts virtuales, hay varias formas de abordar
el asunto de los registros. Primero, es posible usar los registros
de la misma manera que se usarían si hubiera solamente un
host en el servidor. Simplemente poniendo las directivas que
tienen que ver con los registros fuera de las secciones
Si una directiva
Para el registro de acceso, se puede llegar a un buen equilibrio. Añadiendo información del host virtual al formato de registro, es posible registrar las operaciones de todos los hosts en un único registro, y posteriormente dividir el fichero con todos los registros en ficheros individualizados. Por ejemplo, considere las siguientes directivas.
El %v
se usa para registrar el nombre del host
virtual que está sirviendo la petición. Puede usar un
programa como split-logfile para
procesar posteriormente el registro de acceso y dividirlo en
ficheros independientes para cada host virtual.
Al iniciar, Apache httpd guarda el identificador del proceso
padre del servidor en el fichero
logs/httpd.pid
. Puede modificar el nombre de este
fichero con la directiva
Para ayudar a la detección de errores, la directiva
Cuando use las potentes y complejas funcionalidades de mod_rewrite, será casi
siempre necesario usar la direcitiva