Мне было интересно, есть ли какие-либо преимущества или распространенные варианты использования, в которых использование отдельных журналов Apache (доступ, агент, ошибка и референт) лучше, чем использование одного комбинированного файла журнала. Я попытался Погуглить, но похоже, что анализ этой конкретной дилеммы не проводился.
Традиционно я использовал отдельные просто потому, что имело смысл разделять данные на группы (конечно, по-другому, на самом деле это расщепление сгруппированные данные; т.е. любой доступ разбивается на несколько частей - что означает одновременный просмотр четырех файлов и попытку их синхронизации с одной и той же меткой времени).
Я не использовал слишком много анализаторов журналов, но подозреваю, что по крайней мере некоторые работают лучше (или вообще работают) с комбинированными журналами.
Так есть ли веская причина использовать раздельное вместо комбинированного?
Я использую разные журналы для разделения ключевых тем, которые работают на одном сервере, но имеют совершенно разные цели (например, разные сайты или другой тип безопасности / чувствительности), поскольку мне легче проверять, просматривать и анализировать, поскольку это снижает шум .
Очевидно, вы могли бы добиться аналогичных результатов, используя grep.
Это действительно личный звонок, который вы должны сделать в зависимости от вашего окружения и того, как вы работаете. У обоих есть свои преимущества и недостатки.
Основное преимущество комбинированного журнала (все записывается в один файл) состоит в том, что он записывается одновременно: если возникает ошибка, вы видите ее прямо под строкой «доступ» (запрос), которая ее вызвала.
Это может немного упростить устранение неполадок, если у вас нет большого количества запросов.
И наоборот, отдельные файлы журналов имеют смысл, когда объем записей настолько велик, что может оказаться слишком большим при попытке устранить проблему.
«Традиционное» подразделение Apache - access и error журналы -
Когда вы ищете проблему, вы смотрите журнал ошибок и провоцируете проблему, и вы получаете только ошибки (в отличие от ошибки плюс все GET запросы на файлы CSS, Javascript, изображения и т. д., которые ваш браузер загружал до того, как вы достигли той части, где происходит сбой).
Вы можете довести это до крайности (отдельные журналы доступа, агента, реферера, SSL и т. Д.), Но лично я не вижу необходимости в этом. Традиционное ведение журнала «Ошибка» и «Доступ» (все, что не является ошибкой) - это то, что вы увидите в большинстве развертываний.
Может быть причина сохранить дополнительный выделенные журналы для рефереров и т. д., если вы проводите анализ или статистику, или вы можете опустить эту информацию из журнала доступа, если вам это не интересно, но я бы не разделял журналы до точки, в которой вы должны смотреть более чем в 2 местах для устранения проблемы. Это просто заставляет вас работать больше.