Nginx的高级配置

1. Nginx用户认证

我一直很怀疑为什么nginx用户认证要安装Apache，我仔细想了想所有的步骤，只有生成htpasswd的时候会用到一个命令htpasswd，所有我就想为啥我自己建一个密码文件不行呢？所以我就试了一下，刚开始是不能认证，想了下应该是权限问题，就给htpasswd文件提了权限，然后能认证了，但是密码一直不对！所以我就先妥协的用了htpasswd命令生成密码文件。后面我会解释为什么不行。

其实并不像老师ppt上说的nginx用户认证需要装Apache，只是我们需要htpasswd这个命令罢了，我找了以下，咱们机子上是有的，所以不用装httpd的。

htpasswd -c -m /usr/local/nginx/conf/htpasswd liuke

回车后输入两次密码即可，然后可以看到在/usr/local/nginx/conf/下面生成了一个htpasswd

文件，我们cat看一下，原来里面是密文，难怪之前我自己建的文件不行...

配置nginx配置文件

vim /usr/local/nginx/conf/nginx.conf

在server中加入如下配置

location / {

auth_basic "Authasas";       

auth_basic_user_file /usr/local/nginx/conf/htpasswd;

}

auth_basic "Authasas";后面的字符串是提示字符。

最后重启Nginx服务器，在浏览器中测试成功

但是还有一个坑，你们有没有发现呢？

当我对根目录设置用户权限的时候，我在网址中直接输入www.kk.com/2.php竟然没让我认证，直接取出来了网页的内容，这是为啥呢？

为了测试，我把认证的内容移到了php解析之前，发现此时就需要用户认证了，于是得出结论，在请求的网址到来时，从上向下比对，如果文件是php结尾的，就直接交给php-fpm去解析了，解析后直接传给了nginx，所以不需要用户认证，但是我把认证放在前面的时候，所有的文件都要进行认证，包括php文件，此时能认证，但是php文件却是不能解析的！！！

2. Nginx域名跳转

前面咱们已经说过Apache的域名跳转了，其实都差不多的。但是有几个坑要注意一点哦。

现先在你的windows的host中加几个域名，解析到你的服务器ip

配置虚拟主机配置文件

vim /usr/local/nginx/conf/nginx.conf

在server的大括号内加入如下内容：

if ($host != 'www.kk.com' ) {

rewrite ^/(.*)$ http://www.baidu.com/$1 permanent;

}

重启服务器，尝试跳转，但是看到的却是403，我仔细分析了一下，原来是以前配置的默认虚拟主机在作祟，不认得的域名都被转到了虚拟主机这里。所以出现403

include /usr/local/nginx/conf/vhosts/*.conf;

我将其删除之后，正常跳转，但是我又想要这个默认虚拟主机该怎么办呢？

解决：我们只需要让服务器认识我们输入的域名不就行了吗？

在server_name这里在写上我们最开始在host中加入的一个域名，然后服务器不就认识了嘛。最后如下图

重启服务器，在windows服务器中输入www.bbb.com正常跳转！！！

3. Nginx过滤掉特定日志

打开nginx的配置文件

vim /usr/local/nginx/conf/nginx.conf

我们会发现在配置文件中定义了错误日志的位置和日志的格式

我们可以定义日志的格式

log_format  main '$remote_addr - $remote_user [$time_local] "$request"''"$status" $body_bytes_sent "$http_referer"''"$http_user_agent" "$http_x_forwarded_for"''"$gzip_ratio" $request_time $bytes_sent $request_length';

log_format是用来定义日志的格式的，我觉得和css样式表很想，后面跟的main就是这个格式的名字，自己还因为这个main困惑了好久。后面这些就是日志的格式了，我们来看下：

$remote_addr, $http_x_forwarded_for（反向） 记录客户端IP地址

$remote_user 记录客户端用户名称

$request 记录请求的URL和HTTP协议

$status 记录请求状态

$body_bytes_sent 发送给客户端的字节数，不包括响应头的大小； 该变量与Apache模块mod_log_config里的“%B”参数兼容。

$bytes_sent 发送给客户端的总字节数。

$connection 连接的序列号。

$connection_requests 当前通过一个连接获得的请求数量。

$msec 日志写入时间。单位为秒，精度是毫秒。

$pipe 如果请求是通过HTTP流水线(pipelined)发送，pipe值为“p”，否则为“.”。

$http_referer 记录从哪个页面链接访问过来的

$http_user_agent 记录客户端浏览器相关信息

$request_length 请求的长度（包括请求行，请求头和请求正文）。

$request_time 请求处理时间，单位为秒，精度毫秒； 从读入客户端的第一个字节开始，直到把最后一个字符发送给客户端后进行日志写入为止。

$time_iso8601 ISO8601标准格式下的本地时间。

$time_local 通用日志格式下的本地时间。

然后我们要打开日志，并且调用这些定义过的日志格式

语法：

access_log path(存放路径) format (自定义日志名称)

实例：

access_log logs/liuke.access.log main;

其实如果不指定日志的格式，默认就是使用main格式的日志，当然我们可以指定其他类型的日志,但是必须要是前面定义过的格式哦。

错误日志error_log的定义

error_log 日志路径 日志级别

error_log /yourpath/error.log crit;

其中crit是日志级别，所有的错误日志级别如下

debug, info, notice, warn,error, crit

上述排列的日志级别，记录的错误信息由多到少，严重级别由低到高

错误日志的默认级别是crit

不记录某种文件类型的日志

配置nginx配置文件

vim /usr/local/nginx/conf/nginx.conf

在相应的server中加入如下配置信息

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|js|css)$

access_log off;

}

重启服务器

service nginx restart

即可关闭以gif|jpg等文件的访问日志了。

4. Nginx日志切割

nginx 没有 apache 自动切割的工具，但是我们可以自己写脚本，也可以借助 CentOS 自带的日志归档工具 logrotate

4.1. 使用脚本分割日志

首先确定我们的要分割的日志路径，然后就是要确定我们的nginx的pid文件所在的路径，对我我的机器而言，要切割的日志文件为/usr/local/nginx/logs/liuke-access.log,而我的pid就在/usr/local/nginx/logs/nginx.pid（在nginx的配置文件中可以找到相应的配置）

编写脚本

vim /usr/local/sbin/nginx_logrotate.sh

写入如下内容：

#! /bin/bash
�d=`date -d "-1 day" +%Y%m%d`�
/bin/mv /home/logs/www_access.log /home/logs/$d_www_access.log�
/bin/kill -HUP `cat /usr/local/nginx/var/nginx.pid`

这是一个SHELL脚本，d等于的是前一天的当前时间，然后用mv将当天的日志更名，然后重新加载服务器配置

---

kill -HUP pid : pid 是进程标识。更改配置而不kill服务。在对配置文件作必要的更改后，发出该命令以动态更新服务配置。

---

然后我们写一个计划任务书，每天0点0分执行这个脚本

crontab -e

在弹出的页面中编辑

0 0 * * * sh /usr/local/sbin/nginx_logrotate.sh

这段代码意思是每天的0:0执行后面的这个脚本

4.2 借助系统的logrotate工具实现

Logrotate是Linux下一款日志管理工具，可用于日志文件的转储（即删除旧日志文件，创建新日志文件）。可以根据日志大小或者按照某时段间隔来转储，内部使用cron程序来执行。Logrotate还可以在压缩日志，并发送到指定E-mail。

logrotate的配置文件在/etc/logrotate.d/nginx

vim /etc/logrotated.d/nginx

然后加入以下配置

/home/logs/*.log {

Daily

Missingok

rotate 52

compress

delaycompress

notifempty

create 644 nobody nobody

sharedscripts

postrotate

[ -f /usr/local/nginx/var/nginx.pid ] && kill -USR1 `cat /usr/local/nginx/var/nginx.pid`Endscript

}

我们来看下logsrotate的参数：

compress 通过gzip 压缩转储以后的日志

nocompress 不需要压缩时，用这个参数

copytruncate 用于还在打开中的日志文件，把当前日志备份并截断

nocopytruncate 备份日志文件但是不截断

create mode owner group 转储文件，使用指定的文件模式创建新的日志文件

nocreate 不建立新的日志文件

delaycompress 和 compress 一起使用时，转储的日志文件到下一次转储时才压缩

nodelaycompress 覆盖 delaycompress 选项，转储同时压缩。

errors address 专储时的错误信息发送到指定的Email 地址

ifempty 即使是空文件也转储，这个是 logrotate 的缺省选项。

notifempty 如果是空文件的话，不转储

mail address 把转储的日志文件发送到指定的E-mail 地址

nomail 转储时不发送日志文件

olddir directory 转储后的日志文件放入指定的目录，必须和当前日志文件在同一个文件系统

noolddir 转储后的日志文件和当前日志文件放在同一个目录下

prerotate/endscript 在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行

postrotate/endscript 在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行

daily 指定转储周期为每天

weekly 指定转储周期为每周

monthly 指定转储周期为每月

rotate count 指定日志文件删除之前转储的次数，0 指没有备份，5 指保留5 个备份

tabootext [+] list 让logrotate 不转储指定扩展名的文件，缺省的扩展名是：.rpm-orig, .rpmsave, v, 和 ~

size size 当日志文件到达指定的大小时才转储，Size 可以指定 bytes (缺省)以及KB (sizek)或者MB (sizem).