potainer 日志_实时Web日志分析神器

GoAccess 是什么？

GoAccess 是一个开源的实时Web日志分析器和交互式查看器，可在*nix系统上的终端或通过浏览器运行。它为系统管理员提供了实时而有价值的HTTP统计信息。

GoAccess 输出展示

终端输出

HTML Dashboard

为什么选择GoAccess？

GoAccess 被设计为一种基于终端的快速日志分析器。它的核心思想是无需使用浏览器就可以快速实时地实时分析和查看Web服务器统计信息（如果您想通过SSH快速分析访问日志，或者只是喜欢在终端中工作，那将是一个很好的选择）。

终端输出是默认输出，但它具有生成完整的，独立的实时 HTML 报告以及 JSON 和 CSV 报告的功能。

GoAccess 功能

GoAccess 解析指定的Web日志文件，并将数据输出到X终端。功能包括：

完全实时
终端每200毫秒更新一次，HTML每秒更新一次。
需要最少的配置
直接接日志文件并运行，选择日志格式，然后让GoAccess解析访问日志并向您显示统计信息。
跟踪应用程序响应时间
跟踪服务请求所花费的时间。如果您要跟踪正在降低网站速度的页面，则非常有用。
几乎所有Web日志格式
GoAccess 允许使用任何自定义日志格式字符串。预定义的选项包括 Apache，Nginx，Amazon S3，Elastic Load Balancing，CloudFront等。
增量日志处理
需要数据持久性吗？GoAccess 能够通过磁盘 B + Tree 数据库增量处理日志。
仅一个依赖
GoAccess是用C语言编写的。要运行它，你只需要将 ncurses 作为依赖项
访问次数
按小时或日期来统计请求数，访问者，带宽等。
多个虚拟主机的指标
有多个虚拟主机？它具有一个面板，该面板显示哪个虚拟主机正在消耗大多数Web服务器资源。
颜色方案可定制的
Tailor GoAccess 可以适合您自己的颜色口味/方案。通过终端，或者简单地在HTML输出上应用样式表。
对大型数据集的支持
GoAccess 为大型数据集提供了一个磁盘B + Tree存储。
Docker支持
能够从上游构建 GoAccess 的Docker映像。

默认支持的Web日志格式

GoAccess允许任何自定义日志格式字符串。使用 -log-format 参数指定日志格式，预定义的选项包括但不限于：

COMBINED | 联合日志格式（Apache、Nginx等）
VCOMBINED | 支持虚拟主机的联合日志格式
COMMON | 通用日志格式
VCOMMON | 支持虚拟主机的通用日志格式
W3C | W3C 扩展日志格式
SQUID | Native Squid 日志格式
CLOUDFRONT | 亚马逊 CloudFront Web 分布式系统
CLOUDSTORAGE | 谷歌云存储
AWSELB | 亚马逊弹性负载均衡
AWSS3 | 亚马逊简单存储服务 (S3)

存储

GoAccess 支持三种类型的存储方式。请根据你的需要和系统环境进行选择。

默认哈希表
内存哈希表可以提供较好的性能，缺点是数据集的大小受限于物理内存的大小。GoAccess 默认使用内存哈希表。如果你的内存可以装下你的数据集，那么这种模式的表现非常棒。此模式具有非常好的内存利用率和性能表现。
Tokyo Cabinet 磁盘 B+ 树
使用这种模式来处理巨大的数据集，大到不可能在内存中完成任务。当数据提交到磁盘以后，B+树数据库比任何一种哈希数据库都要慢。但是，使用 SSD 可以极大的提高性能。往后您可能需要快速载入保存的数据，那么这种方式就可以被使用。
Tokyo Cabinet 内存哈希表
作为默认哈希表的替换方案。因为使用通用类型在内存表现以及速度方面都很平均。

安装

源码安装

$ wget https://tar.goaccess.io/goaccess-1.3.tar.gz
$ tar -xzvf goaccess-1.3.tar.gz
$ cd goaccess-1.3/ $ ./configure --enable-utf8 --enable-geoip=legacy
$ make $ make install

Debian / Ubuntu

$ echo "deb https://deb.goaccess.io/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/    goaccess.list
$ wget -O - https://deb.goaccess.io/gnugpg.key | sudo apt-key add -
$ sudo apt-get update
$ sudo apt-get install goaccess

注意事项：

要获得磁盘上的支持（Trusty + 或 Wheezy +），请运行：sudo apt-get install goaccess-tcb
.deb 官方仓库中的软件包也可以通过HTTPS获得。您可能需要安装 apt-transport-https

CentOS / RedHat

$ yum install goaccess -y

OS X / Homebrew

$ brew install goaccess

用法/示例

要输出到终端并生成交互式报告

$ goaccess access.log

生成 HTML 报告

$ goaccess --log-format=COMBINED access.log -a > report.html

生成 JSON 报告

$ goaccess --log-format=COMBINED access.log -a -d -o json > report.json

生成 CSV 文件

$ goaccess --log-format=COMBINED access.log --no-csv-summary -o csv > report.csv

GoAccess 还为实时过滤和解析提供了极大的灵活性。例如，要从goaccess启动以来通过监视日志来快速诊断问题：

$ tail -f access.log | goaccess -

更妙的是，进行筛选，同时保持打开的管道保持实时分析，我们可以利用的 tail -f 和匹配模式的工具，如grep，awk，sed，等：

$ tail -f access.log | grep -i --line-buffered 'firefox' | goaccess --log-format=COMBINED -

或从文件的开头进行解析，同时保持管道处于打开状态并应用过滤器

$ tail -f -n +0 access.log | grep -i --line-buffered 'firefox' | goaccess -o report.html    --real-time-html -

监示多个日志文件

$ goaccess access.log access.log.1

实时 HTML 输出
生成实时HTML报告的过程与创建静态报告的过程非常相似。只--real-time-html需要使其实时即可。

$ goaccess --log-format=COMBINED access.log -o /usr/share/nginx/html/your_site/report.html --real-time-html

自定义日志/日期格式

有两种方法自定义配置日志格式。最简单的方式是运行 GoAccess 时使用 -c 显示一个配置窗口。但是这种方式不是永久有效的，因此你需要在配置文件中设定格式。

配置文件位于：%sysconfdir%/goaccess.conf 或者 ~/.goaccessrc

注意：%sysconfdir% 可能是 /etc/, /usr/etc/ 或者 /usr/local/etc/

time-format 参数 time-format 后跟随一个空格符，指定日志的时间格式，包含普通字符与特殊格式说明符的任意组合。他们都由百分号 (%)开始。参考 man strftime。 %T 或者 %H:%M:%S

注意：如果给定的时间戳以微秒计算，则必须在 time-format 中使用参数 %f。

date-format 参数 date-format 后跟随一个空格符，指定日志的日期格式，包含普通字符与特殊格式说明符的任意组合。他们都由百分号 (%)开始。参考 man strftime。

注意：如果给定的时间戳以微秒计算，则必须在 date-format 中使用参数 %f 。

log-format 参数 log-format 后跟随一个空格符或者制表分隔符(t)，用于指定日志字符串格式。

特殊格式说明符：

%x 匹配 time-format 和 date-format 变量的日期和时间字段。用于使用时间戳来代替日期和时间两个独立变量的场景。
%t 匹配 time-format 变量的时间字段。
%d 匹配 date-format 变量的日期字段。
%v 根据 canonical 名称设定的服务器名称(服务区或者虚拟主机)。
%e 请求文档时由 HTTP 验证决定的用户 ID。
%h 主机(客户端IP地址，IPv4 或者 IPv6)。
%r 客户端请求的行数。这些请求使用分隔符(单引号，双引号)引用的部分可以被解析。否则，需要使用由特殊格式说明符(例如：%m, - %U, %q 和 %H)组合格式去解析独立的字段。
- 注意: 既可以使用 %r 获取完整的请求，也可以使用 %m, %U, %q and %H 去组合你的请求，但是不能同时使用。

%m 请求的方法。
%U 请求的 URL。
- 注意: 如果查询字符串在 %U 中，则无需使用 %q。但是，如果 URL 路径中没有包含任何查询字符串，则你可以使用 %q 查询字符串将附加在请求后面。

%q 查询字符串。
%H 请求协议。
%s 服务器回传客户端的状态码。
%b 回传客户端的对象的大小。
%R HTTP 请求的 "Referer" 值。
%u HTTP 请求的 "UserAgent" 值。
%D 处理请求的时间消耗，使用微秒计算。
%T 处理请求的时间消耗，使用带秒和毫秒计算。
%L 处理请求的时间消耗，使用十进制数表示的毫秒计算。
%^ 忽略此字段。
%~ 继续解析日志字符串直到找到一个非空字符(!isspace)。
~h 在 X-Forwarded-For (XFF) 字段中的主机(客户端 IP 地址，IPv4 或者 IPv6)。

注意事项

每一个活动面板上最多有 366 个对象，如果是实时 HTML 报告则为 50 个对象。对象上限可以通过最大对象数自定义，但是只有 CSV 和 JSON 格式的输出允许超过默认值，即 366 对象每面板。

在使用磁盘B+树(使用参数 --keep-db-files 和 --load-from-disk)加载了同一个日志两次，则 GoAccess 会将每个请求也计算两次。问题#334 详细说明了此问题。

一次访问就是一次请求(访问日志中的每一行)，例如，10 次请求 = 10 次访问。具有相同 IP，日期，和 UserAgent 的 HTTP 请求将被认为是一个独立访问。

参考链接

https://goaccess.cc/?mod=man
https://github.com/allinurl/goaccess

您的关注是小站的动力

http://weixin.qq.com/r/T0wgOB-EukLFrVtb9xld (二维码自动识别)

欢迎大家关注交流，定期分享自动化运维、DevOps、Kubernetes、Service Mesh和Cloud Native

扫码『加群』交流技术