(the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at Unless required by applicable law or agreed to in writing, software distributed under the License is distributed on an "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the License for the specific language governing permissions and limitations under the License. <
p>ウェブサーバを効果的に管理するためには、サーバの活動やパフォーマンス、
今発生しているかもしれない問題に関するフィードバックを得ることが必要です。
Apache HTTP サーバには非常に包括的で柔軟なロギング機能があります。
この文書はロギング機能の設定の仕方と、ログに何が書かれているかを
<
section id="security"><
title>
<
p>Apache がログファイルを書いているディレクトリに書き込める人は、
ほぼ確実にサーバが起動された uid へのアクセスを手に入れることができます。
ちゃんと結果を考えることなく、そのディレクトリへの
書き込み権限を与え<
em>ない</
em>でください。詳しくは
<
p>加えて、ログファイルにはクライアントからの情報がそのまま、
エスケープされることなく書かれています。ですから、悪意のある
クライアントがログファイルに制御文字を挿入することができます。
<
directive module="core">ErrorLog</
directive>
<
directive module="core">LogLevel</
directive>
<
p><
directive module="core">ErrorLog</
directive> ディレクティブにより
名前と場所が決まるサーバのエラーログは、一番重要なログファイルです。
Apache の診断情報はここに送られ、リクエストを処理しているときに
発生したエラーはすべてここに記録されます。サーバを起動したときや、
サーバの動作に問題が起こったときは、一番最初に調べるべき
ところです。間違いの詳細や修正方法がそこに書かれていることが
<
p>エラーログは普通はファイルに書かれます (通常 Unix システムでは
<
code>error_log</
code>、Windows と OS/2 では <
code>
error.log</
code>)。
Unix システムではエラーを <
code>syslog</
code> や
<
a href="#piped">パイプでプログラムに送る</
a> ことができます。</
p>
<
p>エラーログの書式は比較的自由度の高いもので、説明的に書かれています。
ただし、いくつかの情報はほとんどのエラーログのエントリにあります。
例えば、代表的なものに次のようなメッセージがあります。</
p>
[Wed Oct 11 14:32:52 2000] [error] [client 127.0.0.1]
client denied by server configuration:
<
p>ログエントリの最初の項目はメッセージの日付と時刻です。
<
directive module="core">LogLevel</
directive> で重要度のレベルを
制限することによりエラーログに送られるエラーの種類を制御することが
できます。三つ目の項目はエラーを発生させたクライアントの IP アドレス
です。残りはメッセージで、この場合はサーバがクライアントのアクセスを
拒否するように設定されている、ということを示しています。
サーバはリクエストされた文書の (ウェブのパスではなく) ファイルシステムの
<
p>非常に広範囲のメッセージがエラーログに現れます。たいていのものは
上の例のような感じです。エラーログには CGI スクリプトのデバッグ
出力も書かれます。CGI スクリプトが <
code>stderr</
code> に書いた
すべての情報は直接エラーログにコピーされます。</
p>
<
p>情報を追加したり削除したりしてエラーログをカスタマイズすることは
できません。しかし、リクエストに対するエラーログのエントリは、
対応するエントリが<
a href="#accesslog">アクセスログ</
a>にあります。
例えば、上の例のエントリはアクセスログのステータスコード 403 の
エントリに対応します。アクセスログはカスタマイズ可能ですので、
そちらを使うことによりエラーの状況に関する情報をより多く
<
p>テストの最中は、問題が発生しているかどうかを見るために、
常にエラーログを監視するのが役に立つ場合がよくあります。
Unix システムでは、次のものを使うことができます。</
p>
<
module>mod_log_config</
module>
<
module>mod_setenvif</
module>
<
directive module="mod_log_config">CustomLog</
directive>
<
directive module="mod_log_config">LogFormat</
directive>
<
directive module="mod_setenvif">SetEnvIf</
directive>
<
p>サーバアクセスログはサーバが処理をしたすべてのリクエストを
記録します。アクセスログの場所と内容は <
directive module="mod_log_config">CustomLog</
directive>
ディレクティブにより決まります。ログの内容の選択を簡潔にするために
<
directive module="mod_log_config">LogFormat</
directive>
ディレクティブを使用することができます。このセクションはアクセスログに
情報を記録するためのサーバの設定方法を説明します。</
p>
<
p>もちろん、アクセスログに情報を蓄積することはログ管理の
始まりに過ぎません。次の段階は有用な統計を取るためにこの情報を
解析することです。一般的なログ解析はこの文書の範囲外で、
ウェブサーバ自身の仕事というわけでもありません。この話や、
ログ解析を行なうアプリケーションの情報を得るには、<
a <
p>いろんなバージョンの Apache httpd が mod_log_config,
mod_log_agent, <
code>TransferLog</
code> ディレクティブといった、
他のモジュールやディレクティブを使ってアクセスのロギングを
module="mod_log_config">CustomLog</
directive> がすべての古い
ディレクティブの機能を含むようになっています。</
p>
<
p>アクセスログの書式は非常に柔軟な設定が可能です。
書式は C の printf(1) フォーマット文字列に非常に似た
<
directive module="mod_log_config">フォーマット文字列</
directive>
により指定されます。いくつか次の節で例を示します。
<
title>Common Log Format</
title>
<
p>アクセスログのよくある設定に以下のものがあります。</
p>
LogFormat "%h %l %u %t \"%r\" %>s %b" common<
br />
<
p>これは、<
em>ニックネーム</
em> <
code>common</
code> を定義し、
ログのフォーマット文字列の一つと関連付けます。フォーマット文字列は
パーセントディレクティブからなり、それぞれのパーセントディレクティブは
サーバにどの情報をロギングするかを指示します。フォーマット文字列に
文字をそのまま入れることもでき、それらはログの出力に直接コピーされます。
そこに引用文字 (<
code>"</
code>) を書くときは、
されることを防ぐためにバックスラッシュでエスケープする必要があります。
フォーマット文字列には改行用の "<
code>\n</
code>"、タブ用の
"<
code>\t</
code>" という特別な制御文字も含めることができます。</
p>
<
p><
directive module="mod_log_config">CustomLog</
directive> ディレクティブは
<
em>ニックネーム</
em> を使って新しいログファイルを設定します。
アクセスログのファイル名はスラッシュで始まらない限り、
<
directive module="core">ServerRoot</
directive> からの相対パスとして
<
p>上の設定は Common Log Format (CLF) と呼ばれる形式で
ログエントリを書きます。この標準の形式は異なるウェブサーバの多くが
生成することができ、多くのログ解析プログラムが読みこむことができます。
CLF により生成されたログファイルのエントリは以下のようになります:</
p>
127.0.0.1 - frank [
10/
Oct/
2000:13:55:36 -0700] "GET
<
p>このログエントリのそれぞれの部分の意味は以下で説明します。</
p>
<
dt><
code>127.0.0.1</
code> (<
code>%h</
code>)</
dt>
<
dd>これはサーバへリクエストをしたクライアント (リモートホスト)
module="core">HostnameLookups</
directive> が
<
code>On</
code> の場合は、サーバはホスト名を調べて、
IP アドレスが書かれているところに記録します。しかし、この設定は
サーバをかなり遅くするので、あまりお勧めできません。
そうではなく、<
program>logresolve</
program> の
ようなログの後処理を行なうプログラムでホスト名を調べるのが良いでしょう。
ここに報告される IP アドレスは必ずしもユーザが使っているマシンの
ものであるとは限りません。ユーザとサーバの間にプロキシサーバが
あれば、このアドレスは元のマシンのものではなく、プロキシの
<
dt><
code>-</
code> (<
code>%l</
code>)</
dt>
<
dd>出力中の「ハイフン」は要求された情報が手に入らなかったということを
意味します。この場合、取得できなかった情報はクライアントのマシンの
<
code>identd</
code> により決まる RFC 1413 のクライアントの
アイデンティティです。この情報はあまり信用することができず、
しっかりと管理された内部ネットワークを除いては使うべきではありません。
module="core">IdentityCheck</
directive> が
<
code>On</
code> になっていない限り、この情報を得ようとすらしません。</
dd>
<
dt><
code>frank</
code> (<
code>%u</
code>)</
dt>
<
dd>これは HTTP 認証による、ドキュメントをリクエストした人の
ユーザ ID です。CGI スクリプトには通常同じ値が <
code>REMOTE_USER</
code>
環境変数として与えられます。リクエストのステータスコード
(以下を参照) が 401 であった場合は、ユーザは認証に失敗しているので、
この値は信用できません。ドキュメントがパスワードで保護されていない
場合は、この部分は前のものと同じように "<
code>-</
code>" に
<
dt><
code>[
10/
Oct/
2000:13:55:36 -0700]</
code>
zone = (`+' | `-') 4*digit</
code>
ログのフォーマット文字列に <
code>%{format}t</
code> を
指定することで、別の形式で時刻を表示させることもできます。
このとき、<
code>format</
code> は C の標準ライブラリの
<
code>strftime(3)</
code> の形式になります。
(<
code>\"%r\"</
code>)</
dt>
<
dd>クライアントからのリクエストが二重引用符の中に示されています。
リクエストには多くの有用な情報があります。まず、この場合クライアントが
使ったメソッドは <
code>GET</
code> です。次に、クライアントは
クライアントはプロトコル <
code>
HTTP/
1.0</
code> を使用しました。
リクエストの各部分を独立にログ収集することもできます。例えば、
フォーマット文字列 "<
code>%m %U%q %H</
code>" は
メソッド、パス、クエリ文字列、プロトコルをログ収集し、
結局 "<
code>%r</
code>" とまったく同じ出力になります。</
dd>
<
dt><
code>200</
code> (<
code>%>s</
code>)</
dt>
<
dd>サーバがクライアントに送り返すステータスコードです。
この情報は、リクエストが成功応答 (2 で始まるコード) であったか、
リダイレクション (3 で始まるコード) であったか、クライアントによる
エラー (4 で始まるコード) であったか、サーバのエラー (5 で始まるコード)
であったか、を表すので、非常に大切です。ステータスコードの
規格</
a> (RFC2616 第 10 節) にあります。</
dd>
<
dt><
code>2326</
code> (<
code>%b</
code>)</
dt>
<
dd>この最後の部分はクライアントに送信されたオブジェクトの、
応答ヘッダを除いたサイズを表します。コンテントがクライアントに送られなかった
場合は、この値は "<
code>-</
code>" になります。コンテントが無い場合に
"<
code>0</
code>" をログ収集するには、<
code>%b</
code> ではなく
<
code>%B</
code> を使ってください。</
dd>
<
title>Combined Log Format</
title>
<
p>もう一つのよく使われる書式は Combined Log Format と呼ばれています。
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\"
\"%{User-agent}i\"" combined<
br />
<
p>この書式の最初の方は Common Log Format とまったく同じで、最後に
二つ追加のエントリがあります。追加のエントリはパーセントディレクティブ
<
code>%{<
em>header</
em>}i</
code> を使っています。ここで
<
em>header</
em> は HTTP のリクエストヘッダのどれかです。この書式による
アクセスログは以下のような感じになります:</
p>
127.0.0.1 - frank [
10/
Oct/
2000:13:55:36 -0700] "GET
(<
code>\"%{Referer}i\"</
code>)</
dt>
<
dd>"Referer" (意図的な綴り間違い) HTTP リクエストヘッダです。
これはクライアントが報告してくる参照元のサイトを表します。
(<
code>\"%{User-agent}i\"</
code>)</
dt>
<
dd>User-Agent HTTP リクエストヘッダです。これはクライアントのブラウザが
<
p>複数のアクセスログは単に設定ファイルに複数の <
directive module="mod_log_config">CustomLog</
directive>
ディレクティブを書くことで作成されます。例えば、以下のディレクティブは
三つのアクセスログを作ります。最初のものは基本的な CLF の情報で、
二つ目と三つ目は referer とブラウザの情報です。最後二つの
<
directive module="mod_log_config">CustomLog</
directive> は
<
code>ReferLog</
code> ディレクティブと
<
code>AgentLog</
code> ディレクティブの効果をまねる方法を示しています。</
p>
LogFormat "%h %l %u %t \"%r\" %>s %b" common<
br />
<
p>この例は <
directive module="mod_log_config">LogFormat</
directive> で
ということも示しています。ニックネームの代わりに、
<
directive module="mod_log_config">CustomLog</
directive> ディレクティブに
<
section id="conditional">
<
p>クライアントのリクエストの特徴に基づいてアクセスログにエントリの
一部をロギングしない方が便利なことがあります。これは <
a href="env.html">環境変数</
a> の補助により簡単に実現できます。まず、
リクエストが何らかの条件に合うということを表すために環境変数が
設定される必要があります。これは通常は <
directive module="mod_setenvif">SetEnvIf</
directive> により
module="mod_log_config">CustomLog</
directive> ディレクティブの
<
code>env=</
code> 節を使って環境変数が設定されているリクエストを
含めたり排除したりすることができます。いくつか例を挙げます:</
p>
# Mark requests from the loop-back interface<
br />
SetEnvIf Remote_Addr "127\.0\.0\.1" dontlog<
br />
SetEnvIf Request_URI "^/robots\.txt$" dontlog<
br />
<
p>他の例として、英語を話す人からのリクエストとそれ以外の人からのリクエストを
分けたい、という場合を考えてみてください。</
p>
SetEnvIf Accept-Language "en" english<
br />
<
p>ここまででは条件付きロギングが非常に強力で柔軟であることを示してきましたが、
それがログの内容を制御する唯一の方法というわけではありません。ログファイルは
サーバの活動の完全な記録である方がより役に立ちます。単純にログファイルを
後処理して、考慮したくないログを削除する方が簡単であることがよくあります。</
p>
<
p>普通の負荷のサーバでさえ、ログファイルに保存される情報の量は
膨大になります。アクセスログのファイルは普通 10,000 リクエスト毎に
1 MB 以上増えます。ですから、既存のログを移動したり、削除したりして、
定期的にログを交替させることが必要になります。これはサーバの実行中には
行なえません。というのは、Apache はファイルが open されている間は
新しいログファイルを open できるように、ログファイルが移動されたり
<
p><
em>優雅な</
em> 再起動を行なうことで、サーバは既存のコネクションや
処理待ちのコネクションを失うことなく新しいログファイルを open させる
ことができます。しかし、これを実現するために、サーバは古いリクエストを
扱っている間は古いログファイルに書き続ける必要があります。
ですから、再起動の後ではログファイルの処理を始める前に、しばらく待たなければ
なりません。単にログを交替させて、ディスクの節約のために古いログを
href="#piped">パイプ経由のログ</
a>を使うもので、次の節で説明されています。</
p>
<
p>Apache httpd はエラーログとアクセスログをファイルに直接書く代わりに、
パイプを通して別のプログラムに書き出すことができます。
この機能により、主サーバにコードを追加することなく
ロギングの柔軟性が非常に高まっています。パイプにログを書くためには、
単にファイル名をパイプ文字 "<
code>|</
code>" に置き換え、その続きに
標準入力からログのエントリを受けとる実行プログラムの名前を書くだけです。
Apache はパイプ経由のログ用のプロセスをサーバの起動時に実行し、
サーバの実行中にそのプログラムがクラッシュしたときはそれを再び
実行します。(この最後の機能がこの技術が「信頼性のあるパイプ経由のロギング」
<
p>パイプ経由のログ用のプロセスは Apache httpd の親プロセスから起動され、
そのプロセスのユーザ ID を継承します。これは、パイプ経由のログ用の
プログラムは普通 root として実行されることを意味します。
ですから、プログラムを簡単で安全に保つことが非常に重要です。</
p>
<
p>パイプ経由のログの重要な利用法は、サーバの再起動なしでログの交替を
することです。Apache HTTP サーバにはこのための <
program >rotatelogs</
program> と呼ばれる簡単な
プログラムが付属しています。たとえば、24 時間毎にログを交替させるには、
<
p>パイプの先で呼ばれるコマンド全体が引用符で囲まれていることに注目して
ください。この例はアクセスログを使っていますが、エラーログにも同じ技術を
<
p>条件付きロギングと同様、パイプ経由のログは非常に強力な
道具ですが、オフラインの後処理のような、より簡単な解決方法があるときは
<
section id="virtualhosts">
<
p>多くの <
a href="vhosts/">バーチャルホスト</
a> のあるサーバを実行している
ときは、ログファイルの扱い方にいくつかの方法があります。
まず、単独のホストのみのサーバとまったく同じようにログを使うことができます。
type="section">VirtualHost</
directive> セクションの外に置くことで、
すべてのログを同じアクセスログとエラーログにログ収集することができます。
この手法では個々のバーチャルホストの統計を簡単にとることはできません。</
p>
<
p><
directive module="mod_log_config">CustomLog</
directive> や
<
directive module="mod_log_config">ErrorLog</
directive> ディレクティブが
<
directive module="core" type="section">VirtualHost</
directive> の中に
ホストへのすべてのリクエストやエラーがそこで指定されたファイルにのみ
ログ収集されます。ロギングディレクティブのないバーチャルホストは
依然としてリクエストが主サーバのログに送られます。この手法は少ない
バーチャルホストに対しては非常に有用ですが、ホストの数が非常に多くなると
<
p>アクセスログには、非常に良い妥協案があります。バーチャルホストの
情報をログのフォーマット文字列に加えることで、すべてのホストへの
リクエストを同じログにログ収集して、後でログを個々のファイルに分割することが
できます。たとえば、以下のディレクティブを見てください。</
p>
LogFormat "%v %l %u %t \"%r\" %>s %b"
<
p><
code>%v</
code> がリクエストを扱っているバーチャルホストの名前を
バーチャルホスト毎のファイルにログを分割することができます。</
p>
<
p>残念ながら、エラーログには同様の手法はありません。ですから、
すべてのバーチャルホストを同じエラーログの中に混ぜるか、
バーチャルホスト毎にエラーログを使うかを選ばなければなりません。</
p>
<
module>mod_logio</
module>
<
module>mod_log_forensic</
module>
<
module>mod_rewrite</
module>
<
directive module="mod_log_config">LogFormat</
directive>
<
directive module="mod_log_forensic">ForensicLog</
directive>
<
directive module="mpm_common">PidFile</
directive>
<
directive module="mod_rewrite">RewriteLog</
directive>
<
directive module="mod_rewrite">RewriteLogLevel</
directive>
<
directive module="mod_cgi">ScriptLog</
directive>
<
directive module="mod_cgi">ScriptLogBuffer</
directive>
<
directive module="mod_cgi">ScriptLogLength</
directive>
<
title>実際に送受信したバイト数のログ</
title>
<
p><
module>mod_logio</
module> は、
<
directive module="mod_log_config">LogFormat</
directive>
<
title>Forensic ログ</
title>
<
p><
module>mod_log_forensic</
module> はクライアントリクエストの
forensic ログを取ります。ログはリクエスト処理前と処理後に
行われますので、1 リクエストに対して 2 行のログが出力されます。
forensic ロガーはとても厳密でカスタマイズできません。
デバッグやセキュリティ用のツールとして有効かもしれません。</
p>
<
p>起動時に、Apache は親 httpd プロセスのプロセス ID を
module="mpm_common">PidFile</
directive> ディレクティブを使って
変更することができます。プロセス ID は管理者が親プロセスに
シグナルを送ることでデーモンを再起動したり終了させたりするときに
使用します。Windows では、代わりに -k コマンドオプションを
<
p>デバッグの補助のために、<
directive module="mod_cgi">ScriptLog</
directive> ディレクティブは
CGI スクリプトの入力と出力を記録するようにできます。
これはテスト用にのみ使用して、通常のサーバでは使用しないでください。
<
section id="rewritelog">
<
p><
directive module="mod_rewrite">mod_rewrite</
directive> の強力で
使っているときは、ほぼいつもデバッグを簡単にするために
<
directive module="mod_rewrite">RewriteLog</
directive> の使用が
必要でしょう。このログファイルにはリライトエンジンがリクエストを
書き換える方法の詳細な解析が出力されます。詳しさの度合は <
directive module="mod_rewrite">RewriteLogLevel</
directive>