Hub de Connaissances DevOps
Hub de Connaissances DevOps

Surveillance des journaux Nginx : Commandes clés pour l'analyse du trafic Web et des erreurs

Optimisez le dépannage et l'analyse du trafic Nginx grâce à des outils essentiels de la ligne de commande Linux. Ce guide complet apprend aux administrateurs et aux développeurs comment utiliser `tail` pour la surveillance en temps réel, `grep` pour le filtrage précis des codes de statut (comme les erreurs 404 et 5xx), et des techniques avancées utilisant `awk` et `sort` pour effectuer une analyse statistique approfondie, telle que l'identification des URI les plus demandés. Apprenez à gérer les fichiers journaux volumineux et pivotés avec `zgrep` et à identifier rapidement les erreurs critiques pour maintenir la santé du serveur.

59 vues

Surveillance des journaux Nginx : Commandes clés pour analyser le trafic Web et les erreurs

Nginx est l'un des serveurs Web et proxys inverses les plus déployés au monde. Bien que ses performances soient excellentes, comprendre ce qu'il fait — gérer des requêtes, servir des actifs ou rencontrer des erreurs — dépend entièrement de ses fichiers journaux. Une surveillance efficace des journaux Nginx est cruciale pour identifier les goulots d'étranglement de performance, analyser les tendances du trafic utilisateur, dépanner les requêtes ayant échoué et atténuer les problèmes de sécurité potentiels.

Ce guide fournit une boîte à outils pratique en ligne de commande pour les administrateurs système et les développeurs, en se concentrant sur les commandes utilitaires Linux essentielles — tail, grep, awk, sort, et d'autres — pour analyser efficacement, filtrer et examiner les journaux d'accès et d'erreurs Nginx directement depuis le terminal.

Comprendre les types de journaux Nginx

Nginx génère généralement deux types principaux de journaux, qui sont configurés dans nginx.conf ou les fichiers de configuration associés :

  1. Journaux d'accès (access.log) : Enregistrent chaque requête traitée par le serveur. Ce journal est vital pour comprendre le comportement des utilisateurs, le volume du trafic, la répartition géographique et les temps de réponse. Par défaut, les champs incluent souvent l'adresse IP, la méthode de requête, l'URI, le code d'état HTTP, la taille de la requête et l'agent utilisateur.
  2. Journaux d'erreurs (error.log) : Enregistrent les informations de diagnostic, les avertissements et les erreurs critiques rencontrées par Nginx lui-même (par exemple, problèmes de configuration, temps morts en amont, épuisement des ressources). Ce journal est le premier point de contrôle pour le dépannage des défaillances côté serveur.

Emplacements standard des journaux

Bien que les emplacements puissent être personnalisés, les journaux Nginx se trouvent généralement dans les répertoires suivants sur la plupart des distributions :

Type de distribution Chemin du journal par défaut
Debian/Ubuntu /var/log/nginx/
RHEL/CentOS /var/log/nginx/
Installation personnalisée (Source) Variable, vérifier nginx.conf

Nous utiliserons /var/log/nginx/access.log et /var/log/nginx/error.log comme exemples principaux.

1. Surveillance en temps réel avec tail

La commande tail est essentielle pour observer l'activité actuelle du serveur au fur et à mesure qu'elle se produit. L'indicateur -f (follow/suivre) maintient la sortie défilante en temps réel.

Surveillance du trafic d'accès en direct

Pour voir les nouvelles requêtes arrivant sur le serveur, utilisez tail -f sur le journal d'accès :

tail -f /var/log/nginx/access.log

Surveillance simultanée des erreurs

Il est souvent utile de surveiller les erreurs lors du test des modifications de configuration ou des déploiements. Vous pouvez le faire en exécutant deux sessions de terminal distinctes, ou en utilisant un outil comme multitail (s'il est installé) :

tail -f /var/log/nginx/error.log

Astuce : Si vous avez besoin de voir les 100 dernières lignes avant de commencer l'opération de suivi, combinez les indicateurs : tail -100f /var/log/nginx/access.log.

2. Recherche et filtrage avec grep

grep (Global Regular Expression Print) est le cheval de bataille pour trouver des lignes spécifiques dans les fichiers journaux. Il vous permet de filtrer rapidement les journaux en fonction des codes d'état, des adresses IP, des méthodes, et plus encore.

Recherche de codes d'état HTTP spécifiques

Lors du dépannage, identifier rapidement toutes les requêtes qui ont abouti à une erreur spécifique est critique. Nous utilisons des espaces autour du code d'état pour éviter les fausses positives provenant de nombres similaires (par exemple, éviter de faire correspondre 200 dans 2000).

Rechercher toutes les erreurs 404 (Non trouvé) :

grep " 404 " /var/log/nginx/access.log

Rechercher toutes les erreurs serveur 5xx (Utilisation de egrep ou grep -E étendu) :

egrep " 50[0-9] " /var/log/nginx/access.log

Filtrage par chemin de requête ou adresse IP

Pour voir toutes les requêtes effectuées par une adresse IP client spécifique ou toutes les tentatives d'accès à un chemin spécifique (par exemple, /admin) :

# Filtrer par adresse IP client
grep "192.168.1.10" /var/log/nginx/access.log

# Filtrer les tentatives d'accès à une URL spécifique
grep "/wp-login.php" /var/log/nginx/access.log

Filtrage en temps réel

Vous pouvez acheminer (pipe) la sortie de tail -f vers grep pour surveiller uniquement des événements spécifiques au fur et à mesure qu'ils se produisent :

# Flux en direct des seules erreurs 5xx
tail -f /var/log/nginx/access.log | grep " 50[0-9] "

3. Gestion des journaux volumineux et archivés

Les fichiers journaux peuvent rapidement devenir massifs. Nginx utilise généralement des utilitaires de rotation des journaux (logrotate) pour compresser les anciens journaux à l'aide de gzip.

Consultation de fichiers volumineux avec less

Plutôt que de charger le fichier entier en mémoire (ce qui pourrait faire planter une session de terminal), utilisez less pour le parcourir page par page. less permet également la navigation arrière et la recherche efficace.

less /var/log/nginx/access.log
# À l'intérieur de less, appuyez sur 'G' pour aller à la fin, 'g' pour aller au début, et '/' pour rechercher.

Recherche dans les journaux compressés avec zgrep

Pour rechercher dans les journaux archivés (fichiers .gz) sans les décompresser manuellement, utilisez les variantes z des commandes courantes (zcat, zgrep).

# Rechercher une erreur 403 dans un fichier journal compressé
zgrep " 403 " /var/log/nginx/access.log.1.gz

4. Analyse structurée avec awk, cut, et sort

Les journaux Nginx, en particulier ceux utilisant le format combiné standard, sont structurés par des espaces. Cette structure permet à des outils comme awk et cut d'extraire des champs de données spécifiques pour une analyse statistique.

Dans le format combiné par défaut, les champs clés sont généralement :
* $1 : Adresse IP distante
* $7 : URI demandée
* $9 : Code d'état HTTP
* $10 : Octets envoyés
* $12 : Référent HTTP
* $14 : Agent utilisateur

Trouver les pages les plus demandées

Ce pipeline utilise awk pour extraire l'URI ($7), sort pour regrouper les entrées identiques, uniq -c pour les compter, et sort -nr pour les lister numériquement par ordre décroissant (le compte le plus élevé en premier).

awk '{print $7}' /var/log/nginx/access.log | \nsort | uniq -c | sort -nr | head -10

Comptage des codes d'état

Pour obtenir rapidement une répartition de tous les codes d'état enregistrés dans le journal :

awk '{print $9}' /var/log/nginx/access.log | \nsort | uniq -c | sort -nr

Exemple de sortie :

  1543 200
   321 301
   15 404
    2 500

Identification des requêtes à latence élevée (si enregistrées)

Si votre configuration Nginx enregistre le temps de réponse en amont ($upstream_response_time), vous pouvez utiliser awk pour trouver les requêtes lentes (par exemple, plus lentes qu'une seconde).

Note : Ceci suppose que le temps de réponse est le 12e champ ($12). Vérifiez la configuration de votre format de journal.

awk '($12 > 1.0) {print $12, $7}' /var/log/nginx/access.log | sort -nr

Bonnes pratiques pour l'analyse des journaux

Utiliser grep -v pour l'exclusion

Parfois, vous devez filtrer le bruit commun, comme les vérifications d'état (health checks) ou les robots bien connus. L'indicateur -v dans grep inverse la correspondance, affichant les lignes qui ne correspondent pas au motif.

# Afficher les journaux d'accès, en excluant toutes les réponses 200 réussies
grep -v " 200 " /var/log/nginx/access.log

# Afficher les journaux, en excluant les agents utilisateurs Googlebot connus
grep -v "Googlebot" /var/log/nginx/access.log

Tirer parti de tsort pour l'analyse basée sur le temps

Si vous fusionnez des journaux provenant de plusieurs serveurs ou fichiers journaux, utilisez tsort (en supposant un format de journal standard où l'horodatage est facilement analysable) ou un script personnalisé pour vous assurer que les lignes sont ordonnées chronologiquement.

Manipulation sécurisée

Les journaux d'accès Nginx contiennent des données sensibles telles que des adresses IP et potentiellement des paramètres de requête. Assurez-vous que lors du transfert des journaux pour analyse, vous utilisez des protocoles sécurisés (SCP/SFTP) et que vous restreignez l'accès au répertoire des journaux au personnel autorisé (généralement l'utilisateur root ou syslog).

# Vérifier les autorisations
ls -l /var/log/nginx/

Résumé

Maîtriser ces outils en ligne de commande transforme les fichiers journaux Nginx de décharges de texte accablantes en renseignements exploitables. En combinant des commandes de base via le pipage (|), les administrateurs peuvent diagnostiquer rapidement les erreurs du serveur, auditer le comportement des clients et optimiser les performances de Nginx, garantissant ainsi une haute disponibilité et une expérience utilisateur fluide. La clé de l'efficacité réside dans la connaissance de votre format de journal et dans l'exploitation de la puissance de tail -f pour la surveillance et de grep/awk pour une analyse statistique approfondie.