森下です。
>> ***.***.***.*** - - [15/Nov/2002:12:52:49 +0900] "GET / HTTP/1.0" 200
>> 42483
>> ***.***.***.*** - - [15/Nov/2002:12:53:57 +0900] "GET / HTTP/1.1" 200
>> 42635 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Q312461)"
>> ***.***.***.*** - - [15/Nov/2002:12:58:30 +0900] "GET / HTTP/1.1" 200
>> 42635 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
>> ***.***.***.*** - - [15/Nov/2002:12:58:42 +0900] "GET / HTTP/1.1" 200
>> 42635 "-" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
>> ***.***.***.*** - - [15/Nov/2002:13:01:17 +0900] "GET / HTTP/1.0" 200
>> 42483 "http://ccwww.meijo-u.ac.jp/" "Mozilla/4.0 (compatible; MSIE
>> 5.5;
>> Windows NT 5.0)"
>
> これの1番最初のログは、拡張形式になっていませんが、
> 間違いないですか。間違いないとすると、ログの書式が
> 1つのログファイル中に2つ混在していることになります。
> この場合には、どちらかの書式のログは異常行として処理
> されるのではないでしょうか。
まちがいありません。11月のログを見たところ、
「/」へのリクエストが24000件あるうち、
拡張形式でないログが2200件ありました。
Analogでの解析結果は4000件なので、
拡張形式じゃないログは異常行とされているようです。
しかし、他にも18000件のログが異常行とされているのでしょうか。
> 一番手っ取り早いのは、「/」への200を持つ成功リクエスト
> のみを抜き出し、Analogで解析してみることだと思います。
早速試してみます。ありがとうございます。