Abbildung 1: Sarg erzeugt übersichtliche User-bezogene Reports über die Arbeit von Squid.
Einen Proxy, der viel zu tun hat, sollte kein Admin links liegen lassen. Der Squid-Logfile-Analysator mit dem endgültigen Namen Sarg verschafft hier den schnellen Durchblick.
|
Inhalt |
|---|
|
64Boot-Sequenzer Neuere Bootsysteme starten mehrere Prozesse parallel und sparen damit Zeit. 70Firewall-Logging Übersicht: Freie und kommerzielle Analysewerkzeuge für Firewall-Logfiles. 78Ulogd und Nulog MySQL-gestütztes Auswerten von IPtables-Logfiles im Userspace. 82Admin-Workshop Der Filesystem-Standard hilft beim Administrieren unterschiedlicher Linuxe. |
Ich schaue oft bei Sourceforge oder Freshmeat nach interessanten Softwarepaketen. Beste Chancen haben bei mir Programme mit ausgefallenen Namen. Auf die Weise fiel mir Sarg in die Hände. Dem brasilianischen Programmautor Pedro Orso ist die morbide Bedeutung seines “Squid Analysis Report Generator” im Deutschen sicher nicht bewusst. Ich jedenfalls habe seinen Sarg sofort ins Herz geschlossen, er ist genau die Art Werkzeug, die ich mag: schlank, schnell und es tut nur das Nötigste.
Unter [1] gibt es den Sourcecode sowie fertige Pakete für mehrere Linux-Distributionen, *BSD, Mac OS und sogar OS/2. Sarg nimmt die Logdatei, in die Squid alle Seitenaufrufe protokolliert, und bastelt daraus übersichtliche Statistiken wie in Abbildung 1. Anders als das von mir an dieser Stelle vorgestellte Squid-Tuningwerkzeug Calamaris [2] erzeugt Sarg User-bezogene Statistiken.
Die wichtigsten Parameter übergebe ich Sarg auf der Kommandozeile, mehr Möglichkeiten eröffnet die mitgelieferte »sarg.conf«. Pedro hat sich bei der Konfigurationsdatei offenbar intensiv Gedanken darüber gemacht, was die Benutzer von seinem Werkzeug erwarten, und die Parameter sehr sinnvoll vorbelegt. Für einen Report reicht dann die Angabe der Quelldatei, also Squids »access.log«, und des Zielverzeichnisses, in das Sarg die Ergebnisse schreiben soll:
sarg -l /var/log/squid/access.log -o /www/sarg/
DNS einsargen
Wer von seinem Sarg mehr Komfort erwartet, übergibt ihm »-n« auf der Kommandozeile, um die DNS-Auflösung der Adressen zu aktivieren. Bei einem kleinen Squid mit wenigen Benutzern funktioniert das gut. Aber für große Caches, die täglich Milliarden Zugriffe verarbeiten, sollte Sarg ohne die Adressenauflösung laufen, weil die Auswertung ansonsten eine Ewigkeit dauert. Davon abgesehen wären die meisten DNS-Admins von dem Stresstest ihrer Server wenig begeistert.
Eine nützliche Funktion ist die Beschränkung der Auswertung auf einen bestimmten Zeitraum per »-d TT/MM/JJJJ-TT/MM/YYYY«. Zum Thema Zeit passt der Umstand, dass Squid in seiner »access.log« den Zeitstempel in einem für Menschen schwer lesbaren Format speichert, nämlich in Sekunden seit dem 1.1.1970 mit Tausendstel-Erweiterung. Das ließe sich zwar abstellen, indem ich Squid das Log im klassischen Common-Logfile-Format schreiben lasse, dann läge aber auch ein Teil der Informationen unter der Erde. Sarg leistet wieder Hilfe. Der Aufruf
sarg -convert /var/log/squid/access.log
gibt das Logfile auf STDOUT aus – mit lesbarem Datum. Aus »1126705707.537« wird so »09/14/2005 15:48:27«. Dass der Konverter die Tausendstelsekunden unterschlägt, bringt mich nicht ins Grab. Sarg gibt mir das Datum aber im amerikanischen Format aus. Darum erweitere ich den Aufruf um den Parameter »-g e« (»e« wie Europa) und erhalte beim nächsten Versuch »14/09/2005 15:48:27« – perfekt. Ich hätte nie gedacht, so viel Freude an einem Sarg zu haben. (jk)
Abbildung 1: Sarg erzeugt übersichtliche User-bezogene Reports über die Arbeit von Squid.
|
Infos |
|---|
|
[1] Sarg: [http://sarg.sourceforge.net/sarg.php] [2] Charly Künast, “Aus dem Alltag eines Sysadmin: Calamaris”: Linux-Magazin 10/03, S. 57 |
|
Der Autor |
|---|
|
|
