Überwachung des Zugriffs auf Server SQUID

Überwachung Online über die Befehlszeile Um jede Aktualisierung online zu überwachen, können wir auf den Parameter “-f” des Befehls “tail” zurückgreifen und Filter gemäß unserem Interesse anwenden.

# tail -f /var/log/squid/access.log | awk ‘{print$3 “ “ $8 “ “ $7}’

192.168.0.1 wrochal http://www.linuxit.com.br/
192.168.0.1 wrochal http://www.linuxit.com.br/log.gif
192.168.0.1 wrochal http://www.linuxit.com.br/banners/linuxmall.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/01.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/02.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/03.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/04.gif
192.168.0.1 wrochal http://www.linuxit.com.br/google.html

Überwachung mit SARG

Mit Sarg ist es möglich, die Zugriffe der Benutzer detaillierter zu verfolgen. Siehe ein Beispiel, wie Sarg Berichte generiert. Es ist möglich, Sarg in mehreren Sprachen zu konfigurieren, über die Konfigurationsdatei /etc/sarg/sarg.conf. Die Konfiguration von Sarg ist einfach und leicht.

Es gibt einige Informationen über Sarg und dessen Ersteller (Weitere Informationen).

Installation von SARG

SARG kann unter folgender Adresse heruntergeladen werden: http://sarg.sourceforge.net/sarg.php. Nach dem Herunterladen entpacken Sie es mit dem Befehl: # tar -xzvf sarg-1.3-PRE2.tar.gz

Danach geben Sie im Verzeichnis, in dem das Programm entpackt wurde, ein: # ./configure

Standardmäßig wird SARG im Verzeichnis /usr/local/sarg installiert. In /etc/sarg/ finden wir die Konfigurationsdatei sarg.conf.

Konfiguration von SARG

Ich werde die wichtigsten Parameter und die Datei erklären.

Sprache definieren

language Portuguese

Berichtstitel

title “Squid Benutzerzugriffsberichte”

Verzeichnis, in dem die Berichte generiert werden

output_dir /home/squid/report/

Um Berichte basierend auf dem Benutzernamen zu generieren (es erfordert einen Proxy, der mit Benutzerauthentifizierung konfiguriert ist).

user_ip no
Diese Option ermöglicht es, den Ort zu spezifizieren, an dem das Squid-Log generiert wird. # TAG: access_log file

#access_log /usr/local/squid/logs/access.log
#access_log /var/log/squid/logs/access.log # RedHat Version
In dieser Option muss nichts geändert werden, da die Art des Zugriffs auf die Website von der Art des Berichts abhängt. # TAG: report_type type

Es gibt folgende Optionen:

Topsites - am häufigsten besuchte Seiten nach Verbindungen und Bytes.
Sites_users - Beispiel, welche Benutzer auf eine bestimmte Seite zugegriffen haben.
Users_sites - Beispiel, welche Seiten von einem bestimmten Benutzer aufgerufen wurden.
Date_time - Bytes, die pro Tag und Stunde verwendet/übertragen wurden.
Denied - Beispiel für Zugriffsversuche auf von den ACLs verbotene Seiten.
Auth_failures - Beispiel für Authentifizierungsversuche (Fehler bei der Eingabe des Authentifizierungspassworts) von Benutzern.

Nachdem die Konfiguration von Sarg abgeschlossen ist, reicht es aus, die Berichte zu generieren, und ich werde einige Beispiele zeigen, wie man sie verwendet.

Zum Beispiel möchte ich den Bericht für das Datum per E-Mail senden: sarg -e [email protected] -d 01/01/2003-06/01/2003

Ein weiteres sehr cooles Beispiel wäre für die URL-Adresse, die in diesem Fall nur den Bericht für die angegebenen Adressen generieren würde: sarg -s www.linuxit.com.br, www.myunix.org

Konfiguration des Datumsformats sarg -d [e=Europa -> dd/mm/aa], u=USA -> mm/dd/aa]

Bericht für Benutzer und IP sarg -i wrochal 10.100.0.101

Bericht für Stunde sarg -t [HH, HH:MM, HH:MM:SS]

Bericht für Benutzer sarg -u wrochal

Jetzt sind Sie bereit, den Bericht über die gewünschte Fähigkeit zu erstellen, und viel Glück.

Bericht mit Ausschluss von Seiten, Zeichenfolgen und Benutzern

Viele Leute fragen, wie man einen Bericht generiert, der bestimmte Seiten, Benutzer und Zeichenfolgen ausschließt. Hier ist, wie man diese Ressource verwendet:

exclude.hosts - Hier hat jede Zeile eine Domain/URL, die im Bericht nicht angezeigt wird. Nützlich, um beispielsweise Adressen von Downloads im Intranet anzugeben, die durch den Squid gehen, aber keine Bandbreite des Internets verbrauchen.

Fügen Sie in die Datei sarg.conf ein: exclude_hosts /etc/sarg/exclude.hosts

exclude.strings - Wenn eine Zeile der Protokolldatei eine der Zeichenfolgen dieser Datei (jede Zeichenfolge pro Zeile) enthält, wird diese Zeile des Protokolls im Bericht ignoriert. Damit können Sie alles aus dem Bericht herausfiltern.

Fügen Sie in die Datei sarg.conf ein: exclude_string /etc/sarg/exclude.strings

exclude.users - Die Benutzer, die in dieser Datei (durch Zeilen getrennt) aufgeführt sind, werden nicht im Bericht berücksichtigt.

Fügen Sie in die Datei sarg.conf ein: exclude_users /etc/sarg/exclude.users

Überwachung mit Webalizer

Der Webalizer funktioniert anders als Sarg, erstellt Berichte mit Summen und betont mehr die Analyse von Bandbreite, Durchsatz usw. Es ist eine ausgezeichnete Option, um die Nutzung des Netzes über verschiedene Zeiträume zu vergleichen.

Für die Überwachung des Zugriffs der Benutzer ist Sarg jedoch die beste Alternative. Der Webalizer erstellt Berichte basierend auf den Diensten Squid und Apache.

Installation von Webalizer

Laden Sie herunter: http://www.mrunix.net/webalizer/download.html

Nach dem Herunterladen entpacken und installieren Sie es: # ./configure

Erweiterte Optionen:

Installation mit Sprachdefinition, überprüfen Sie das Verzeichnis lang, das Unterstützung hat.

–with-language=

Beispiel

–with-language=french

Hauptparameter

Welche Protokolldatei die notwendigen Daten zur Erstellung des Berichts enthält.

LogFile /var/log/squid/access.log

Welcher Diensttyp der Bericht generiert wird.

LogType squid

Verzeichnis, in dem der Bericht generiert wird

OutputDir /home/webalizer/

Calamaris

Calamaris ist eine in Perl geschriebene Software, die die Erstellung detaillierter Berichte über die Nutzung des Internets mithilfe der Protokolldateien einiger Proxy-Server wie NetCache, Inktomi Traffic Server, Oops! Proxy-Server, Novell Internet Caching System, Compaq Tasksmart, Netscape/iplanet Web Proxy-Server und natürlich Squid ermöglicht. Die generierten Berichte sind in der Präsentation sehr einfach, jedoch reich an extrahierten Details aus den Protokolldateien. Sie können im gleichen Format HTML oder im Textformat generiert werden, um per E-Mail gesendet zu werden.

Die Nutzung dieser Software ist sehr einfach. Zuerst müssen Sie die neueste Version unter http://cord.de/tools/squid/calamaris/Welcome.html.en herunterladen, das Archiv im Verzeichnis Ihrer Wahl entpacken, in unserem Fall /usr/local/calamaris. Danach können Sie es bereits verwenden. Unten haben wir ein einfaches Beispiel für den Befehl zur Erstellung von Berichten aus den Squid-Protokollen. # /usr/local/calamaris/calamaris -a -F html /var/log/squid/access.log >/srv/www/default/html/calamaris/index.html

Der obige Befehl reicht aus, um hervorragende Berichte zur Protokollanalyse zu erstellen. In diesem Fall verwenden wir die Option -a, die Calamaris anweist, alle Berichte zu generieren, -F HTML gibt das Format des Berichts an, das wir wünschen, in diesem Fall HTML, /var/log/squid/access.log ist der Speicherort der Squid-Protokolldatei und /srv/www/default/html/calamaris/index.html ist der Speicherort des generierten Berichts, in diesem Fall ein Ordner im Apache-Baum, sodass er von jedem Arbeitsplatz im Netzwerk analysiert werden kann.

Wir können in Abbildung 1 die Arten der generierten Berichte beobachten, sowie in Abbildung 2 einen dieser Berichte, der Informationen zu Anfragen enthält, organisiert nach Erweiterung.

Abbildung 01

Abbildung 02

Idealerweise sollte ein Skript entwickelt werden, um die Ausführung von Calamaris für Cron zu planen, aber dies wird hier nicht behandelt, da dies je nach den Bedürfnissen jedes Einzelnen erfolgen muss, ebenso wie die Software selbst einige Beispiele dafür mitbringt, wie man dies macht.

Squid-Graph

Squid-Graph, wie auch Calamaris, ist in Perl geschrieben, jedoch, wie der Name schon sagt, ein Generator von Grafiken zur Nutzung des Proxy-Servers. Es zielt darauf ab, synthetischere Informationen über Zugriffe und Datenübertragungen darzustellen, bleibt aber dennoch eine interessante Alternative und kann die Liste der Verwaltungstools ergänzen.

Es kann unter http://squid-graph.securlogic.com/files/stable/squid-graph-3.1.tar.gz heruntergeladen werden, dies ist die letzte verfügbare Version zu diesem Zeitpunkt. Es ist wichtig zu beachten, dass das Perl GD-Modul installiert sein muss, das sicherlich auf der CD Ihrer bevorzugten Distribution vorhanden sein sollte.

Der Installationsprozess ist sehr einfach, da es nur darum geht, die Archive im gewählten Verzeichnis zu entpacken, da wir nichts kompilieren müssen. In unserem Fall installieren wir es in /usr/local/squid-graph/, wie im folgenden Befehl gezeigt. **# tar xzvf squid-graph-3.1.tar.gz -C /usr/local/

Die Ausführung des Befehls zur Erstellung der Grafiken hängt davon ab, wie und welche generiert werden müssen. Eine gute Möglichkeit, diesen Befehl auszuführen, besteht darin, die Grafiken kumulativ zu generieren, wie unten dargestellt. #/usr/local/squid-graph/bin/squid-graph -c -n -o=/srv/www/default/html/squid-graph/ –title=”Grafik der Nutzung des Proxys” < /var/log/squid/access.log
Im obigen Befehl verwenden wir die Option -c, um kumulative Grafiken zu generieren, das heißt, wir erhalten zwei Grafiken für die Zugriffe und Übertragungen TCP, sowie zwei Grafiken für die Zugriffe und Übertragungen UDP. Die Option -n sorgt dafür, dass die Informationen zur Verarbeitung des Squid-Protokolls nicht auf dem Bildschirm angezeigt werden, -o=/srv/www/default/html/squid-graph/ gibt den Ort an, an dem die Dateien (HTML und Bilder) gespeichert werden, -title=”Grafik der Nutzung des Proxys” personalisiert den Titel der HTML-Seite, auf der die Grafiken angezeigt werden, und schließlich haben wir die Protokolldatei von Squid.

Es gibt weitere interessante Optionen, wie das Generieren von Grafiken für eine bestimmte URL oder eine bestimmte Verwendung, wie wir unten mit dem Befehl 3 sehen können: # cat /var/log/squid/access.log | grep “ginux.comp.ufla.br” | /usr/local/squid-graph/bin/squid-graph -c -n / -o=/srv/www/default/html/squid-graph/ –title=”Grafik der Nutzung des Proxys”

Um eine Grafik der Zugriffe eines bestimmten Benutzers zu generieren, müssten wir nur den oben gezeigten grep-Befehl durch grep “192.168.16.3” ersetzen, wobei 192.168.16.3 die IP Ihres Benutzers ist. Wir können auch dieselbe Ressource für Grafiken bestimmter Dateitypen verwenden, indem wir die Erweiterung als Parameter verwenden, zum Beispiel grep “.mp3” ist ein guter Anfang. Wie bereits zu erkennen ist, können wir die Verwendung von Squid-Graph mit anderen Linux-Befehlen kombinieren, sodass wir eine Unmenge an Optionen für die Nutzung haben. Darüber hinaus gibt es noch andere interessante Optionen, die hier nicht behandelt wurden.

Autor: William Rocha - [email protected]
Übersetzung: Tatiana Freitas - [email protected]

Referenzen:

Hugo Cisneiros, hugo_arroba_devin_ponto_com_ponto_br - http://www.devin.com.br/eitch/
Buch Squid - Proxy für Linux konfigurieren (Antonio Marcelo)
Webalizer - http://www.mrunix.net/webalizer/
Sarg - http://sarg.sourceforge.net/
Verwendung und Konfiguration von SQUID (Teil 1 und Teil 2) - Von Antonio Claudio Sales Pinheiro - [email protected]