ＭＲＴＧ日志文件的分析研究

摘要：對MRTG日志格式做了詳細的分析，進一步說明了MRTG日志文件的形成，并且通過ped語言對日志文件進行了再分析。

關鍵詞：監(jiān)控 日志 流量

中圖分類號：TP393

文獻標識碼：A 文章編號：1002-2422(2007)06-0022-02

1 MRTG的日志文件格式

MRTG的日志文件是一個文本文件，最大只有2530行，文件中每行代表一項數(shù)據(jù)，段間采用空白字符(Ox20)分隔。按照數(shù)據(jù)表示的意義可以分為五種數(shù)據(jù)：當前取樣值、日數(shù)據(jù)、周數(shù)據(jù)、月數(shù)據(jù)、年數(shù)據(jù)。其中當前取樣值只有一行。日數(shù)據(jù)、周數(shù)據(jù)、月數(shù)據(jù)、最多為600行，年數(shù)據(jù)可以有730多行。

1.1 當前樣植分析

日志文件第一行為當前取值，包括三個字段：數(shù)據(jù)采集時間、流入流量字節(jié)計數(shù)值和流出流量字節(jié)數(shù)值。可使用公式(x+((365*66+17)*86400))/86400將它轉換成EXCEL工作表內的時間。流入流量字節(jié)計數(shù)值為725433999Byte/s，流出流量字節(jié)計數(shù)值為3960069128 Byte/s，

1.2 日數(shù)據(jù)分析

日志文件的第二行至第600行為日流量數(shù)據(jù)。按照缺省配置，MRTG每五分鐘采集一次數(shù)據(jù)，并將這個數(shù)據(jù)存為日志文件中日數(shù)據(jù)的一行，日數(shù)據(jù)滿載時為600行，因此日數(shù)據(jù)部分最多可以存儲數(shù)據(jù)的時間長度為5分鐘*600=3000分鐘：50小時=2.1天。MRTG使用400個點的數(shù)據(jù)生成日統(tǒng)計圖，時間長度大約為33.33小時。每個日數(shù)據(jù)由五個字段組成，分別為數(shù)據(jù)采集時間、入流流量均值、出流量均值、入流量最大值、出流量最大值。如：956219400 4141390698 41413 90698，數(shù)據(jù)采集時間為956219400秒，入流量均值為41413 Byte/s，出流量均值90698 Byto/s，入流量最大值41413 Byte/s，出流量最大值90698 Byto/s。

1.3 周數(shù)據(jù)分析

日志文件的第601行至第1200行為周流量數(shù)據(jù)，數(shù)據(jù)格式和數(shù)據(jù)意義與日數(shù)據(jù)基本相同，例如，956039400 5301354396 59143 61263，數(shù)據(jù)采集時間為956039400秒，入流量均值為53013 Byte/s，出流量均值為54396Byte/s，入流量最大值為59143Byte/s，出流量最大值為61263Bytes。

其中周數(shù)據(jù)采集時間承接日數(shù)據(jù)采集時間，每行數(shù)據(jù)時間間隔為30分鐘，周數(shù)據(jù)的時間長度為：30分鐘*600=300小時=12.5天。