使用云日志服务收集SquidCache访问日志

SquidCache（简称Squid）是一款高性能的HTTP代理服务器，具有广泛的应用场景。可以为做缓存服务器，可以在网络安全管理中进行流量过滤，也可以作为代理服务器链中的一级，向上级代理转发数据或直接连接互联网。无论是用作缓存还是过滤流量，通过分析其运行日志，可以帮助运维人员清楚的了解系统的运行情况。

对Squid以及其使用不了解的同学举个手，今天我们不展开讲Squid。

今天的给大家演示如何使用云日志服务收集Squid的日志，并通过日志服务，搜索Squid日志中的异常数据。

第一步：Squid日志配置

   由于Squid默认的日志格式，其日志内容的第一个字段是Unix格式的时间戳，云日志服务Agent暂时无法解析，因此需要先调整Squid的日志格式。

   在配置文件/etc/squid/squid.conf（注：该样例路径为默认安装的路径，请根据实际情况判断文件的位置）中添加如下配置项：

将配置项%tl放在日志的第一项，并设置format为：%Y-%m-%d %H:%M:%S。上面是截图，下面是文字版本的配置：

logformat combined %{%Y-%m-%d %H:%M:%S}tl %>a %ui %un "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh

access_log /var/log/squid/access.log combined

修改后Squid的access.log日志内容如下：

     注意：Squid配置修改完成需要重启进程

第二步：云日志服务Agent安装配置

参考帮助中心《安装配置Agent》(http://support.huaweicloud.com/usermanual-lts/zh-cn_topic_0067564154.html)。

   设置telescope读取Squid的access.log，配置样例如下：

   注意：

o   Path的路径为Squid的access.log的实际路径，要根据实际情况配置；

o   TimeExtractPattern配置项是日志的时间字段格式，这个需要跟access.log的日志格式匹配。

o   GroupId和LogTopicId也不要忘记配置

第三步：使用云日志服务搜索日志

   下面列出几个简单运维使用的场景，可以根据不同的需求搜索不同的内容。

1.       搜索无法访问的站点请求

2.       搜索访问拒绝的请求

3.       搜索被缓存命中的请求

4.       搜索缓存未命中的请求

   注：以上内容为测试数据，不针对特定的网站或者企业。