Sarg encountered a ID longer than 256 bytes or the access.log contains a value with a space character. As columns are separated by spaces, any stray space in a value puts sarg off track.
Can you post the full line and the line after to see what is wrong?
Here is a command you can copy and paste to get the two lines I need:
If I'm not mistaken, that long string of %20 is the user's ID. It looks like someone fell asleep on the space bar while entering the ID.
Based on the URL, it may be due to an automated java update program. The computer with IP address 192.168.0.100 may have a wrong user's ID in the proxy settings.
Now, sarg should not choke on such a string. It should simply truncate it. I'll fix it.
Thanks for taking the time to analyze and report that problem.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Hi there!
I am having troubles generating reports.
I received those messages above when I tried to run sarg.
SARG: getword loop detected after 256 bytes.23%
SARG: Line="1362511119.997 59 192.168.0.100 TCP_DENIED/407 3863 CONNECT javadl-esd-secure.oracle.com:443"
SARG: Record="%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20filial.diadema NONE/- text/html"
SARG: searching for 'x20'
SARG: getword backtrace:
SARG: 1:/usr/local/bin/sarg() [0x406ef7]
SARG: 2:/usr/local/bin/sarg() [0x40783a]
SARG: 3:/usr/local/bin/sarg() [0x40ae3c]
SARG: 4:/lib64/libc.so.6(__libc_start_main+0xfd) [0x7f9352f43cdd]
SARG: 5:/usr/local/bin/sarg() [0x402599]
SARG: Maybe you have a broken user ID in your /var/log/squid/access.log file
The maximum user ID length is 256 bytes.
Sarg encountered a ID longer than 256 bytes or the access.log contains a value with a space character. As columns are separated by spaces, any stray space in a value puts sarg off track.
Can you post the full line and the line after to see what is wrong?
Here is a command you can copy and paste to get the two lines I need:
Note that I can't test that command without the original file. It may require some adjustment from your part.
If your log file has been rotated away by logrotate, adjust the file name accordingly.
Hi frederic,
the error happened again.
SARG: getword loop detected after 256 bytes.71%
SARG: Line="1363089551.632 0 192.168.0.100 TCP_DENIED/407 3879 CONNECT java dl-esd-secure.oracle.com:443"
SARG: Record="%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20 %20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%2 0%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20% 20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20 %20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20 NONE /- text/html"
SARG: searching for 'x20'
SARG: getword backtrace:
SARG: 1:/usr/local/bin/sarg() [0x406ef7]
SARG: 2:/usr/local/bin/sarg() [0x40783a]
SARG: 3:/usr/local/bin/sarg() [0x40ae3c]
SARG: 4:/lib64/libc.so.6(__libc_start_main+0xfd) [0x7f1a1864acdd]
SARG: 5:/usr/local/bin/sarg() [0x402599]
SARG: Maybe you have a broken user ID in your /var/log/squid/access.log file
ACCESS.LOG:
1363089551.624 0 192.168.0.100 TCP_MEM_HIT/200 2853 GET http://consulta2.confirmeonline.com.br/ConfirmeOnLine/jscript/div.js filial.sc-jaraguadosul NONE/- text/javascript
1363089551.632 0 192.168.0.100 TCP_DENIED/407 3879 CONNECT javadl-esd-secure.oracle.com:443 %20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20 NONE/- text/html
1363089551.716 0 192.168.0.100 TCP_DENIED/407 3951 GET http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt - NONE/- text/html
1363089551.745 0 192.168.0.100 TCP_DENIED/407 3865 GET http://www.live.com/favicon.ico - NONE/- text/html
1363089551.813 0 192.168.0.100 TCP_DENIED/407 3695 GET http://crl.verisign.com/pca3.crl - NONE/- text/html
1363089551.816 0 192.168.0.100 TCP_DENIED/407 3695 GET http://crl.verisign.com/pca3.crl - NONE/- text/html
If I'm not mistaken, that long string of %20 is the user's ID. It looks like someone fell asleep on the space bar while entering the ID.
Based on the URL, it may be due to an automated java update program. The computer with IP address 192.168.0.100 may have a wrong user's ID in the proxy settings.
Now, sarg should not choke on such a string. It should simply truncate it. I'll fix it.
Thanks for taking the time to analyze and report that problem.
Update: removed because I found a mistake in the log file.
Last edit: Stanislav German-Evtushenko 2014-01-20