目录
nginx日志配置
nginx日志介绍
access.log
error.log
open_log_file_cache
rewrite.log
nginx的日志轮转
nginx错误界面配置
nginx流量控制
nginx如何限流
配置基本限流
nginx流量限制(高级)
流量控制相关功能
nginx日志配置
nginx日志介绍
nginx 有一个非常灵活的日志记录模式,每个级别的配置可以有各自独立的访问日志, 需要日志模块 ngx_http_log_module 的支持,日志格式通过 log_format 命令来定义,日志对于统计和排错是非常有利的,下面总结了 nginx 日志相关的配置 包括 access_log、log_format、open_log_file_cache、rewrite_log、error_log。
总结:Nginx中通过access_log和error_log指令配置访问日志和错误日志,通过log_format我们可以自定义日志格式。如果日志文件路径中使用了变量,我们可以通过open_log_file_cache 指令来设置缓存,提升性能。其他的根据自己的使用场景定义。详细的日志配置信息可以参考Nginx官方文档
access.log
# 设置访问日志
access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];
# 关闭访问日志
access_log off;
- path 指定日志的存放位置。
- format 指定日志的格式。默认使用预定义的combined。
- buffer 用来指定日志写入时的缓存大小。默认是64k。
- gzip 日志写入前先进行压缩。压缩率可以指定,从1到9数值越大压缩比越高,同时压缩的速度也越慢。默认是1。
- flush 设置缓存的有效时间。如果超过flush指定的时间,缓存中的内容将被清空。
- if 条件判断。如果指定的条件计算为0或空字符串,那么该请求不会写入日志。
作用域:可以应用access_log指令的作用域分别有http,server,location,limit_except。也就是说,在这几个作用域外使用该指令,Nginx会报错。
access_log /var/logs/nginx-access.log #该例子指定日志的写入路径为/var/logs/nginx-access.log,日志格式使用默认的combined。 access_log /var/logs/nginx-access.log buffer=32k gzip flush=1m 该例子指定日志的写入路径为/var/logs/nginx-access.log,日志格式使用默认的combined,指定日志的缓存大小为 32k,日志写入前启用 gzip 进行压缩,压缩比使用默认值 1,缓存数据有效时间为1分钟。
log_format 指令
Nginx 预定义了名为 combined 日志格式,如果没有明确指定日志格式默认使用该格式:
log_format combined '$remote_addr - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent"';
如果不想使用Nginx预定义的格式,可以通过log_format指令来自定义。
语法:
log_format name [escape=default|json] string ...;
• name 格式名称。在 access_log 指令中引用。
• escape 设置变量中的字符编码方式是json还是default,默认是default。
• string 要定义的日志格式内容。该参数可以有多个。参数中可以使用Nginx变量。
自定义日志格式的使用:
access_log /var/logs/nginx-access.log main
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
使用log_format指令定义了一个main的格式,并在access_log指令中引用了它。假如客户端有发起请求:https://qf.com/,我们看一下我截取的一个请求的日志记录:
10.0.105.207 - - [01/Jul/2019:10:44:36 +0800] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36" "-"
我们看到最终的日志记录中$remote_user、$http_referer、$http_x_forwarded_for都对应了一个-,这是因为这几个变量为空。
log_format 指令中常用的一些变量:
error.log
错误日志在Nginx中是通过error_log指令实现的。该指令记录服务器和请求处理过程中的错误信息。
error_log file [level];
Default:
error_log logs/error.log warn;file参数指定日志的写入位置。
level 参数指定日志的级别。level可以是debug, info, notice, warn, error, crit, alert,emerg中的任意值。可以看到其取值范围是按紧急程度从低到高排列的。只有日志的错误级别等于或高于level指定的值才会写入错误日志中。
基本用法: error_log /var/logs/nginx/nginx-error.log 配置段:main, http, mail, stream, server, location作用域。 例子中指定了错误日志的路径为:/var/logs/nginx/nginx-error.log,日志级别使用默认的 error。
open_log_file_cache
每一条日志记录的写入都是先打开文件再写入记录,然后关闭日志文件。如果你的日志文件路径中使用了变量,如 access_log /var/logs/$host/nginx-access.log,为提高性能,可以使用open_log_file_cache指令设置日志文件描述符的缓存。
语法:
open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];
默认值:
open_log_file_cache off;
• max 设置缓存中最多容纳的文件描述符数量,如果被占满,采用LRU算法将描述符关闭。
• inactive 设置缓存存活时间,默认是10s。
• min_uses 在inactive时间段内,日志文件最少使用几次,该日志文件描述符记入缓存,默认是1次。
• valid:设置多久对日志文件名进行检查,看是否发生变化,默认是60s。
• off:不使用缓存。默认为off。
open_log_file_cache max=1000 inactive=20s valid=1m min_uses=2;
配置段:http、server、location作用域中。
例子中,设置缓存最多缓存1000个日志文件描述符,20s内如果缓存中的日志文件描述符至少被被访问2次,才不会被缓存关闭。每隔1分钟检查缓存中的文件描述符的文件名是否还存在。
rewrite.log
由ngx_http_rewrite_module模块提供的。用来记录重写日志的。对于调试重写规则建议开启,启用时将在error log中记录notice级别的重写日志。
基本语法: rewrite_log on | off; 默认值: rewrite_log off; 配置段: http, server, location, if作用域。
nginx的日志轮转
[root@192 ~]# rpm -ql nginx |grep log /etc/logrotate.d/nginx
[root@192 ~]# vim /etc/logrotate.d/nginx
/var/log/nginx/*.log { #指定需要轮转处理的日志文件
daily #日志文件轮转周期,可用值为: daily/weekly/yearly
missingok # 忽略错误信息
rotate 7 # 轮转次数,即最多存储7个归档日志,会删除最久的归档日志
minsize 5M #限制条件,大于5M的日志文件才进行分割,否则不操作
dateext # 以当前日期作为命名格式
compress # 轮循结束后,已归档日志使用gzip进行压缩
delaycompress # 与compress共用,最近的一次归档不要压缩
notifempty # 日志文件为空,轮转不会继续执行
create 640 nginx nginx #新日志文件的权限
sharedscripts #有多个日志需要轮询时,只执行一次脚本
postrotate # 将日志文件转储后执行的命令。以endscript结尾,命令需要单独成行
if [ -f /var/run/nginx.pid ]; then #判断nginx的PID。# 默认logrotate会以root身份运行
kill -USR1 cat /var/run/nginx.pid
fi
endscript
}
执行命令:
[root@192 nginx]# /usr/sbin/logrotate -f /etc/logrotate.conf
创建计划任务:
[root@192 nginx]# crontab -e
59 23 * * * /usr/sbin/logrotate -f /etc/logrotate.conf
注意:
USR1 停止接受新的连接,等待当前连接停止,重新载入配置文件,重新打开日志文件,重启服务器,从而实现相对平滑的不关机的更改。
nginx错误界面配置
nginx错误页面包括404 403 500 502 503 504等页面,只需要在server中增加以下配置即可:
#error_page 404 403 500 502 503 504 /404.html;
location = /404.html {
root /usr/local/nginx/html;
}
注意:/usr/local/nginx/html路径下必须有404.html这个文件!!!
404.html上如果引用其他文件的png或者css就会有问题,显示不出来,因为其他文件的访问也要做配置;为了简单,可以将css嵌入文件中,图片用base编码嵌入。
示例:
[root@localhost ~]# mkdir /html
[root@localhost ~]# vim /html/404.html
404
哎呀,找不到该页面啦!
请检查您的网络连接是否正常或者输入的网址是否正确
[root@localhost ~]# vim /etc/nginx/conf.d/404.conf
server {
listen 80;
server_name www.hjf777.com;
location / {
root /html;
index index.html;
}
error_page 404 /404.html;
location = /404.html {
root /html;
}
}
[root@localhost ~]# nginx -s reload
浏览器测试访问,输入ip地址后加一个不存在的路径,就会跳转到我们自己定义的404页面
nginx流量控制
流量控制是nginx中一个非常实用,却经常被错误理解和错误配置的功能。我们也可以用来限制用户在给定时间内HTTP请求的数量。请求,可以是一个简单网站首页的GET请求,也可以是登录表单的POST请求。流量限制可以用作安全目的,比如可以用减慢暴力密码破解的速率。通过将传入请求的速率限制为真实用户的典型值,并标识目标URL地址(通过日志),还可以用来抵御DDOS攻击。更常见的情况,该功能被用来保护上游应用服务器不被同时太多用户请求所压垮。
nginx如何限流
nginx的“流量限制”使用漏桶算法(leaky bucket algorithm),该算法在通讯和分组交换计算机网络中广泛使用,用以处理宽带有限时的突发情况。就好比,往一个桶口里倒水,桶底在漏水的水桶。如果桶口倒水的速率大于桶底的漏水速率,桶里面的水将会溢出;同样,在请求处理方面,水代表来自客户端的请求,水桶代表根据“先进先出调度算法”(FIFO)等待被处理的请求队列,桶底漏出去的水代表离开缓冲区被服务器被处理的请求,桶口溢出去的水代表被丢弃和不被处理的请求。
配置基本限流
“流量限制”配置两个主要的指令,limit_req和limit_req_zone,如下所示:
limit_req_zone $binary_remote_addr zone=mylimit rate=10r/s; limit_req_zone指令设置流量限制和共享内存区域的参数,但实际上并不限制请求速率。所以需要通过添加limit_req指令——rate,将流量限制应用在特定的location或者server块中。例如上面的rate=10r/s,我们对请求进行流量限制。现在每个ip地址被限制为每秒只能请求10次,更精确地说,在前一个请求的100毫秒内不能请求该URL。 limit_req_zone指令定义了流量限制相关的参数,而limit_req指令在出现的上下文中启用流量限制 limit_req_zone指令通常在HTTP块协议中定义,使其可在多个上下文中使用,它需要三个参数: key:定义应用限制的请求特性。比如上面命令中的nginx变量$binary_remote_addr,保存客户端IP地址的二进制形式。这意味着,我们可以将每个不同的IP地址通过第三个参数rate设置的请求速率进行限制。(使用$binary_remote_addr变量是因为比字符串形式的客户端IP地址$remote_-addr占用更少的空间) zone:定义用于存储每个IP地址状态以及被限制请求URL访问频率的共享内存区域。保存在内存共享区域的信息,意味着可以通过nginx的worker进程之间共享。定义分为两个部分:通过zone=keyword(表示区域的名字),以及冒号后面跟区域大小。16000个IP地址的状态信息,大约需要1MB。 rate:定义最大请求速率。在上面命令中,速率不能超过每秒10个请求。nginx实际上以毫秒的粒度来跟踪请求,所以速率限制相当于每100毫秒1个请求。因为不允许“突发情况”(见下一章节),这意味着在前一个请求100毫秒内达到的请求将被拒绝。(1秒=1000毫秒)
示例:
[root@localhost ~]# vim /etc/nginx/nginx.conf
.... #在HTTP全局块中添加limit_req_zone指令
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
....
[root@localhost ~]# vim /etc/nginx/nginx.conf
server {
listen 80;
server_name www.hjf777.com;
location / {
root /html;
index index.html;
limit_req zone=mylimit;
}
}
[root@localhost ~]# nginx -s reload
客户端访问测试
nginx流量限制(高级)
通过将基本的“流量限制”与其他nginx功能配合使用,我们可以实现更细粒度的流量限制。
示例:
准备四台机器
192.168.242.137 代理服务器
192.168.242.138 真实服务器
192.168.242.134 客户端(白名单)
192.168.242.140 客户端(不在白名单内)
先部署好真实服务器(192.168.242.138)
[root@localhost ~]# mkdir /html
[root@localhost ~]# echo "hello xiaopanda" >/html/index.html
[root@localhost ~]# vim /etc/nginx/conf.d/limit.conf
server {
listen 80;
server_name localhost;
location / {
root /html;
index index.html;
}
}
[root@localhost ~]# nginx -s reload
测试
接下来部署代理服务器(192.168.242.137)
[root@localhost ~]# vim /etc/nginx/nginx.conf
.... 在http全局块添加upstream配置,添加地址池,地址池里是真实服务器的ip
upstream web {
server 192.168.242.138;
}
...
[root@localhost ~]# vim /etc/nginx/conf.d/proxy.conf
server {
listen 80;
server_name localhost;
location / {
proxy_pass http://web;
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
[root@localhost ~]# nginx -s reload
浏览器访问代理服务器地址,验证是否能访问真实服务器的网页。(成功访问到了,步骤省略了,如果有问题,检查配置文件)
然后在代理服务器上做流量限制(192.168.242.137)
[root@localhost ~]# vim /etc/nginx/nginx.conf
... 在http全局块添加geo和map两个指令
geo $limit {
default 1;
192.168.242.134 0; #白名单
}
map $limit $limit_key {
0 "";
1 $binary_remote_addr;
}
limit_req_zone $limit_key zone=req_zone:10m rate=1r/s;
upstream web {
server 192.168.242.138;
}
...
[root@localhost ~]# vim /etc/nginx/conf.d/php.conf
server {
listen 80;
server_name localhost;
location / {
limit_req zone=req_zone; #使用limit_req指令
proxy_pass http://web;
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
[root@localhost ~]# nginx -s reload
使用两台客户端分别测试
白名单客户端测试192.168.242.134
黑名单客户端访问测试
说明流量限制成功。
这个例子同时使用了geo和map指令。geo块将给在白名单中的ip地址对应的$limit变量分配一个值0,给其他不在白名单中的默认分配一个值1。然后我们使用一个映射将这些值转为key,如下:
如果$limit变量的值是0,$limit_key变量将被赋值为空字符串
如果$limit变量的值为1,$limit_key变量将被赋值为客户端二进制形式的IP地址
两个指令配合使用后,白名单内IP地址的$limit_key变量被赋值为空字符串,不在白名单内的被赋值为客户端的ip地址。当$limit_req_zone后的第一个参数是空字符串时,不会应用“流量限制”,所以白名单内的ip地址不会被限制。其他所有ip地址都会被限制。limit_req指令将应用到的location块,允许在配置的限制上最多超过10个数据包的突发,并且不会延迟转发。
