MS Proxy用法(一)2

了明白日志文件的内容,下面是日志文件中每一个字段的定义,它的顺序和你在日志文件中看到的一样。记住Web Proxy和WinSock Proxy的日志文件在格式上是一样的。常规日志并未省略任何数据字段,只是减少了某些信息量。

1. 客户机IP (ClientIP):这个字段时连接到Proxy的客户机IP地址。当Web Proxy激活一个缓冲任务(要连到外部WEB来刷新缓冲的内容),就会自己记录一个条目到日志文件,这个字段的数据就是Web Proxy服务器自己的IP。
2. 客户用户名(ClientUserName):如果Proxy客户机用户的名字是已知的,它就会显示在这个字段里。如果是一个匿名用户,这个字段的值就是”anonymous”。
3. 客户代理(ClientAgent):这个字段是客户访问Proxy服务器的代理名称。如果是Web Proxy客户,那么客户应用程序将会在连接头发出这个信息给Web Proxy。如果是WinSock Proxy客户,工作站上的WinSock 客户软件将决定程序运行的实际名字并通过控制通道传递给WinSock Proxy。该字段也包含了客户操作系统的重要信息,该信息用一个冒号与代理名分开。对于Web Proxy客户,这些信息有可能在连接头里被传给服务器(也可能不会)。对于WinSock客户,这个信息总是通过WinSock客户软件被传递给服务器。一个操作系统信息由客户传给Web Proxy的例子:compatible; IE3; WIN95。操作系统信息由一个客户传给WinSock Proxy看起来象这样:2:4:0,这是Windows95的代码。下面这个表是WinSock Proxy日志中操作系统代码的明细。


0:3.1 Windows 3.1
0:3.11 Windows for Workgroups
0:3.95 Windows 95 (connection made by a 16-bit client application.)
1:3.11 Windows for Workgroups (connection by a client using the Win32s extensions.)
2:4.0 Windows 95 (connection made by a 32-bit client.)
3:3.51 Windows NT 3.51
3:4.0 Windows NT 4.0


  Web Proxy完整记录这个字段值的样例是:Mozilla/2/0(compatible; MSIE 3.0; Windows 95)。WinSock Proxy完整记录这个字段值的样例是:WS_FTP32.EXE:2:4.0。Web Proxy记录该字段的精确值依据客户应用程序在做proxy连接时传送到Web Proxy的头信息改变而变动
4. 认证情况(ClientAuthenticate):该字段指出客户是否为一个确认过的连接,Y值代表客户经过NT安全数据库的校验。
5. 记录日期:Proxy Server建立该条记录的日期
6. 记录时间(LogTime):Proxy Server建立该条记录的时间
7. 服务器名(ServerName):加入到日志记录里的服务器名字。当选择详细日志记录时,WspSrv代表WinSock Proxy,W3Proxy代表Web Proxy。当选择常规日志时,该字段是两个数值,1代表Web Proxy,2代表WinSock Proxy。
8. Proxy Name:运行Proxy Server的NT服务器名字。这是一个NetBIOS名字。
9. 提交服务器名(Referring Server Name):这在当前版本下是一个保留字段。以后的Proxy Server版本将用它来保存下行Proxy Server的名字,该服务器连接到当前Proxy Server。这在一个互相协作的层叠Proxy服务器群里非常有用
10. 目的名(DestHost):该字段指出客户通过Proxy Server连接的域名。但并不总是客户连接请求的名字,因为网上有些站点自动执行连接转发。如果信息由缓冲中发出(只有Web Proxy这样),则该字段无内容。
11. 目的IP地址(DestHostIP):该字段保存客户通过Proxy Server连接主机的IP地址,就象上个字段一样,如果从Web 缓冲中获信息,该字段则无内容。
12. 目的端口(DestHostPort):在Proxy Server和目标站点之间连接的TCP/IP端口。如果没有数据传送到客户机上,该字段无内容,该字段仅由Web Proxy使用。WinSock Proxy在此字段无内容。
13. 处理时间(ProcessingTime):Proxy Server获取客户机发出信息所花费的时间(毫秒级)。一旦proxy server从目的网站收到结果代码,时钟就停止。如果信息由Web Proxy缓冲里发出,该字段则指出定位信息并发送给客户机用了多少时间。
14. 发送字节数(BytesSent):Proxy Server发送给客户机的字节数。如果没有信息发给客户机,该字段可能为空。只有Web Proxy使用该字段。
15. 接收字节数(BytesRecv):该字段记录Proxy Server由客户机处收到的字节数。其大小是客户机发给Proxy的请求数量。和前个字段一样,该字段仅由Web Proxy使用。如果该字段在Web Proxy日志中为空,可能是客户机没有发送数据或是没有提供大小信息。
16. 协议名称(Protocol):在Web Proxy日志里,该字段的内容是:HTTP, FTP, Gopher, or Secure,根据客户使用的协议而不同。在Winsock Proxy日志里,该字段是客户机连接的常用数字协议(例如:SMTP连接的110)
17. Transport:客户机与Proxy Server之间使用的传输方法。Web Proxy连接总是TCP。Winsock Proxy连接会是TCP、UDP或是IPX/SPX。
18. Operation:记录Proxy Server执行的转输操作。Web Proxy能记录GET、PUT、POST和HEAD。WinSock Proxy能记录Connect、Accept、SendTo、RecvFrom和GetHostByName。
19. 对象名称(Object Name):该字段记录Web Proxy收到的对象名称,WinSock Proxy日志该字段为空。
20. Object MIME:仅Web Proxy使用该字段。记录收到的MIME类型对象。如果目标服务器未定义或不支持,该字段会包含如下字符串:
MIME Type Definition
application/x-msdownload Application
image/gif GIF Image
image/jpeg JPG Image
multipart/x-zip ZIP Archive
text/plain ASCII Text File
21. Object Source:只有Web Proxy使用,该字段记录对象由何处而来。记录内容如下:
n Field Value Definition
n Unknown Proxy Server could not determine where the object originated.
n Cache Object found in cache.
n Rcache Object found on Internet. Objects was added to cache.
n Vcache Object found in cache. Object was verified against target object on Internet.
n NVCache Object found in cache but could not be verified against target object on Internet. Object was still returned to client.
n VFInet Object found on Internet. Object could not be verifed against source.
n PragNoCacheInet Object found on Internet. HTTP header indicates that the object should not be cached.
n Inet Object found on Internet. Object was not added to the cache.
1. 结果代码(Result code):该字段是连接到的Internet站点返回关于收到对象的结果代码。该字段值的范围非常广,Web Proxy和the WinSock Proxy在该字段记录不同的值。在Web Proxy记录里,低于100的值代表Windows错误代码,在100和1000之间是HTTP状态代码,10000以上的值是Wininet或WinSock错误代码。Web Proxy记录的三个最常见的代码是200(成功连接)、10060(连接超时)、10065(未达到主机)。在WinSock Proxy记录里,该字段的值是下列代码之一:
Code Definition

0 Successful Connection
1 Server Failure
2 Rejection by Proxy due to filtering
3 Network unreachable due to no DNS service available.
4 Host unreachable because no DNS entry could be found for the host.
5 Connection refused by target Internet site.
6 Unsupported client request (perhaps the client is using a non-compliant TCP/IP stack or the WinSock call is from a non-supported version.
7 Unsupported Address type.

  详细字段与一般字段
  当选择一般记录时,有些字段会简单的用”-”来填充,详细记录会记录前面列表中所有已知数据。一般日志仅记录下面的字段:
Client Computer IP
Client User Name
Authentication Status
Date Logged
Time Logged
Server Name
Destination Name
Destination Port
Protocol Name
Object Name
Object Source
Result Code

  阅读日志有时会非常糊涂,因为有时看上去代理服务器没有记录正确的信息。最重要的是记住保持字段顺序的正确,很快你就能正确地理解它们了。