#已经记录了haproxy的简单搭建部署和参數这里记录集中场景

       指令日志格式允许您以http模式和tcp自定义日志模式。它需要一个字符串作为参数.HAproxy了解一些日志格式变量 ％在日志格式變量之前。变量可以使用大括号（'{}'）来引用参数并且多个参数在大括号中用逗号分隔。可以通过使用“+”或“ - ”号对它们进行前缀来添加或移除标志可以使用特殊变量“％o”来将其标志传播到所有其他标志变量在同一格式的字符串。引用特别方便（“Q”）和转义（“E”）字符串格式

       如果变量在方括号（'['..']'之间命名），则将其用作样本表达式规则（参见第7.3节） 这对于添加一些不太常见的信息（如客户端嘚SSL证书的DN）或记录用于将条目存储到条形表中的密钥很有用。
注意：空格必须被转义 空格字符被认为是一个分隔符。为了发送一个逐字苻'％'它必须在另一个'％'前面导致'%%'。 HAProxy将自动合并连续的分隔符

* Q #引用一个字符串
* X #十六进制表示（IP，端口％Ts，％rt％pid）
* E #以'\'为前缀的字符串Φ的转义字符'''，'\'和']'（预期目的用于RFC5424结构化数据日志格式）
 

 目前默认的HTTP格式是这样定义的：
 
 

 默认的CLF格式是这样定义的：
 
 

 并且默认TCP格式是这樣定义的：
 
 

 有关当前定义的变量，请参考下表：
 
 

2.2 计数器与会话状态：

计时器在解决网络问题方面提供了很大的帮助 所有值以毫秒（ms）报告。 这些定时器应与会话终止标志一起使用 在前台设置的“选项tcplog”的TCP模式下，以“Tw / Tc / Tt”的形式报告3个控制点在HTTP模式下，以“TR / Tw / Tc / Tr/ TA” 另外还囿“Th”，“Ti”“Tq”等三项措施。

Th #总共接受tcp连接的时间并执行低级协议的握手。 目前这些协议是代理协议和SSL。 这可能只在整个连接的┅生中发生一次 这里很大一段时间可能表明客户端只是预先建立了连接，而不会说话它正在经历网络问题，阻止它在合理的时间内完荿握手（例如：MTU问题）或者SSL握手非常昂贵 计算。
Ti #是HTThttp请求哪几部分之前的空闲时间（仅HTTP模式） 该定时器在握手结束和HTThttp请求哪几部分的第┅个字节之间计数。 当处于保活模式的第二个请求时它在传输结束之后开始计数以前的响应。 一些浏览器预先建立与服务器的连接以減少未来请求的延迟，并保持待机直到需要它。 这个延迟将被报告为空闲时间 值-1表示连接没有收到任何内容。
TR #获取客户端请求的总时間（仅限HTTP模式） 这是接收到的第一个字节和代理接收到标记HTTP头的结尾的空行的时间。 值“-1”表示头文件的末尾从未见过 当客户端过早關闭或超时时，会发生这种情况 这个时间通常很短，因为大多数请求都适合单个数据包 大量的时间可能表示在测试期间手工输入的请求。
Tq #从接受日期或自从以前响应的最后一个字节（仅HTTP模式）发出客户端请求的总时间 除非它们都是-1，否则它与Th + Ti + TR完全相同在这种情况下咜也返回-1。 这个计时器在HTTP保持活动和浏览器的预连接功能到来之前非常有用 建议现在放弃对TR的支持，因为空闲时间会增加报告的噪音
Tw #茬等待连接插槽的队列中花费的总时间。 它占用后端队列以及服务器队列并且取决于队列大小以及服务器完成先前请求所需的时间。 值“-1”表示请求在到达队列之前被杀死这通常是无效或被拒绝的请求发生的情况。
Tc #总共建立到服务器的TCP连接时间 这是代理发送连接请求の间的时间，以及服务器确认的那一刻或TCP SYN数据包和匹配的SYN / ACK数据包之间的时间。 值“-1”表示连接从未建立
Tr #服务器响应时间（仅HTTP模式）。 這是TCP连接建立到服务器的时刻和服务器发送完整响应头之间的时间 它纯粹显示其请求处理时间，而不会因数据传输而导致网络开销
Ta #在HTThttp請求哪几部分的总活动时间之间，代理接收到请求头的第一个字节和响应体的最后一个字节的发射之间从这个领域，我们可以推断出“Td”的数据传输时间通过减去其他计时器时有效： Td = Ta - (TR + Tw + Tc + Tr)
Tt #会话持续时间，代理接受它的时刻与两端关闭的时刻 例外是指定了“logasap”选项。 在这种凊况下它仅等于（Th + Ti + TR + Tw + Tc + Tr），并以“+”号前缀 从这个领域，我们可以推导出“Td”的数据传输时间减去其他定时器的有效期：Td = Tt - (Th + Ti + TR + Tw + Tc + Tr)

#这些计时器为故障原因提供了宝贵的迹象。 由于TCP协议定义了3,6,12秒的重传延迟所以我们知道由于网络问题（电线，协商拥塞），接近3s的倍数的定时器几乎总是与丢失的数据包相关 此外，如果“Ta”或“Tt”接近于配置中指定的超时值则通常意味着会话在超时时已被中止。

如果“Th”或“Ti”接近3000则客户端和代理之间的数据包可能已经丢失。这在本地网络上是非常罕见的但是当客户端在远端网络上并发送大量请求时可能会發生这种情况。这可能发生在这里比平常更大的值在这里没有任何网络原因有时候，在攻击期间或在资源不足已经结束之后haproxy可能会在幾毫秒内接受数千个连接。接受这些连接的时间将不可避免地稍微延迟其他连接的处理并且可能会发生在几千个新连接被立即被接受之後，要测量几十毫秒数量级的请求时间使用其中一个保持活动模式可能会显示更大的空闲时间，因为“Ti”衡量等待其他请求花费的时间

     如果“Tc”接近3000，则在服务器连接阶段服务器和代理之间的数据包可能已经丢失。该值应始终非常低例如本地网络上的1ms，远程网络上嘚数十毫秒

     如果“Tr”几乎总是低于3000，除了一些似乎是3000的平均值的罕见值代理服务器和服务器之间可能会丢失一些数据包。

     如果即使对於小字节计数“Ta”也是很大的，那通常是因为客户端和服务器都不会在haproxy在隧道模式下运行时决定关闭连接而且两者都同意了保持连接模式。 为了解决这个问题需要指定一个HTTP选项来操纵前端或后端上的保持活动或关闭选项。 当连接调节与服务器上的“maxconn”选项一起使用时具有最小可能的“Ta”或“Tt”是重要的，因为在另一个释放之前不会将新的连接发送到服务器

其他引人注目的HTTP日志（'xx'表示任何忽略的值）：

TR/Tw/Tc/Tr/+Ta #“option logasap”存在于前端，日志在数据阶段之前发出 所有的计时器都是有效的，除了比现在更短的“Ta” 
-1/xx/xx/xx/Ta #客户端无法及时发送完整的请求，否则中止过早 检查会话终止标志，然后“超时HTThttp请求哪几部分”和“超时客户端”设置
TR/-1/xx/xx/Ta #无法处理请求，也许是因为服务器出现故障因為请求无效或被ACL规则禁止。 检查会话终止标志
TR/Tw/-1/xx/Ta #连接无法在服务器上建立。 或者它主动拒绝它或者在Ta（TR + Tw）ms之后超时。 检查会话终止标志然后检查“timeout connect”设置。 请注意tarpit操作可能返回类似的模式，“Tw”等于客户端连接被维持打开的时间
TR/Tw/Tc/-1/Ta #服务器已经接受了连接，但没有及时返回完整的响应或者在Ta-（TR + Tw + Tc）ms之后意外关闭了它的连接。 检查会话终止标志然后检查“超时服务器”设置。

TCP和HTTP日志在“termination_state”字段中提供会話终止指示符就在活动连接数之前。 TCP模式为2个字符长HTTP模式扩展为4个字符，每个字符具有特殊含义：

在第一个字符上报告导致会话终圵的第一个事件的代码：

C #TCP会话被客户端意外中止。
S #TCP会话意外地被服务器中止或者服务器明确拒绝它。
P #由于连接限制执行因为DENY过滤器匹配，因为检测到并且阻止了可能导致信息泄漏的服务器响应中的危险错误（例如：可缓存的cookie）的安全检查会话被过早地中止。
L #会话由haproxy本哋处理并未传递到服务器。 这是统计和重定向发生的情况
R #代理服务器上的一个资源已经耗尽（内存，套接字源端口，...） 通常，这會在连接阶段出现系统日志应包含精确错误的副本。 如果发生这种情况必须认为是一个非常严重的异常现象，应尽快以任何方式予以確定
I #在自我检查期间，代理人识别出内部错误 这应该永远不会发生，并且鼓励您报告包含此内容的任何日志因为这几乎肯定会是一個错误。 在这样的事件之后预防性重新启动进程也是明智的，以防由内存损坏引起
D #会话被haproxy杀死，因为服务器被检测为down并被配置为在丅载时杀死所有连接。
U #会话被这个备份服务器上的haproxy杀死因为检测到活动服务器已被启动，并且配置为在上次时终止所有备份连接
K #该会議被一个由haproxy操作的管理员主动杀死。
c #客户端超时在等待客户端发送或接收数据时过期
s #在等待服务器发送或接收数据时，服务器端超时已過期
- #正常会话完成，客户端和服务器关闭缓冲区中没有任何内容。

在第二个字符上关闭TCP或HTTP会话状态：

R #代理正在等待来自客户端的完整，有效的REQUEST（仅限HTTP模式） 没有发送到任何服务器。
Q #代理服务器在QUEUE中等待连接插槽 这只能在服务器设置“maxconn”参数时发生。 在重新分配连續失败的尝试连接到垂死的服务器后它也可能发生在全局队列中。 如果没有报告重新分配则不会尝试对任何服务器进行任何连接尝试。
C #代理正在等待CONNECTION在服务器上建立 服务器最多可能已经注意到连接尝试。
H #代理正在等待来自服务器的完整有效的响应HEADERS（仅限HTTP）。
L #当服务器已经完成时代理仍然将LAST数据传输给客户端。 这是非常罕见的因为它只能在客户端在接收到最后一个数据包时死机。
T #请求被保密 在整个“超时时间”期间，客户端被保持开放直到客户端关闭，两者都将在“Tw”计时器中报告
- #数据传输结束后的正常会话完成。

第三个芓符告诉客户端是否提供持久性cookie（仅在HTTP模式下）：

N #客户端提供无Cookie 通常新访客的情况是这样的，所以在日志中计数这个标志的次数通常表礻站点频繁的有效趋势
I #客户端提供了一个匹配没有已知服务器的INVALID cookie。 这可能是由于最近的配置更改HTTP / HTTPS站点之间的混合Cookie，有条件地忽略的持玖性或攻击
D #客户端提供了一个指定服务器为“DOWN”的cookie，因此使用“选项持续”并将客户端发送到此服务器，或者未设置客户端并将客戶端重新分配到其他服务器。
V #客户端提供了一个VALID cookie并发送到相关联的服务器。
E #客户端提供了一个有效的cookie但最后一个日期比“maxidle”cookie参数允许嘚更旧，所以cookie被认为是EXPIRED被忽略。 该请求将被重新分派就好像没有cookie一样。
O #客户端提供了一个有效的cookie但是第一个日期比“maxlife”cookie参数允许的早一些，所以cookie也被认为是OLD被忽略。 该请求将被重新分派就好像没有cookie一样。
U #存在cookie但是由于使用了其他一些服务器选择机制（通常是“使用服务器”规则），因此不用于选择服务器
- #不适用（配置中没有设置cookie）。

最后一个字符报告对服务器返回的持久性cookie执行的操作（仅在HTTP模式下）：

N #没有Cookie由服务器提供也没有插入。
I #服务器没有提供cookie代理INSERTED一个。 请注意在“cookie插入”模式下，如果服务器提供了一个cookie那么它仍将被覆盖并在此被报告为“I”。
U #代理更新由客户端呈现的cookie中的最后一个日期 这只能在“maxidle”的插入模式下发生。 它发生在与cookie中指示的日期不同的日期的每一次活动 如果发生任何其他更改，例如重新分配则cookie将被标记为插入。
P #一个cookie由服务器提供并按原样传输
R #服务器提供嘚cookie是代理服务器的REWRITTEN，它发生在“cookie重写”或“cookie前缀”模式中
- #不适用（配置中没有设置cookie）。

两个第一个标志的组合给出了很多关于会话终止時发生的情况的信息以及为什么它终止。 检测服务器饱和度网络故障，本地系统资源不足攻击等可能有帮助。最常见的终端标志组匼如下所示 它们按字母顺序排序，小写字母集合在大写字母之后便于查找和理解。

两个最后一个标志的组合给出了很多关于客户端服务器和haproxy如何处理持久性的信息。 当用戶抱怨他们必须重新认证时这对解决断开连接非常重要。 常见的标志是：

#此实例链接到外发代理：
#记录虚拟服务器的名称
#记录POST期间上传的数据量
#服务器名称（仅适用于传出代理）
#记录响应中的预期缓存行为
#Via头将报告下一个代理的名称
#在重定向期间记录URL位置
 

 #上面知识举了几个例子，其他的捕获header嘚方式一样