Monitoreo de acceso al servidor SQUID

Monitoreo en línea para la línea de comandos Para monitorear cualquier actualización, en línea, podemos contar con el parámetro “-f” del comando “tail”, aplicando filtros de acuerdo con su interés.

# tail -f /var/log/squid/access.log | awk ‘{print$3 “ “ $8 “ “ $7}’

192.168.0.1 wrochal http://www.linuxit.com.br/
192.168.0.1 wrochal http://www.linuxit.com.br/log.gif
192.168.0.1 wrochal http://www.linuxit.com.br/banners/linuxmall.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/01.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/02.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/03.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/04.gif
192.168.0.1 wrochal http://www.linuxit.com.br/google.html

Monitoreo con el SARG

Con el Sarg es posible seguir con más detalles los accesos de los usuarios, ve un ejemplo de cómo el Sarg genera informes, es posible configurar el Sarg en algunos idiomas, a través del archivo de configuración /etc/sarg/sarg.conf, la configuración del Sarg es simple y fácil.

Conoce un poco sobre Sarg y su creador ( Más Información).

Instalando el Sarg

El SARG se puede obtener en la siguiente dirección: http://sarg.sourceforge.net/sarg.php. Después de descargarlo, se descomprime usando el comando: # tar -xzvf sarg-1.3-PRE2.tar.gz

Después de eso, en el directorio donde se descomprimió el programa, escribe: # ./configure

Por defecto, el SARG se instala en el directorio /usr/local/sarg. En el pasado /etc/sarg/ es donde encontraremos el archivo de configuración sarg.conf.

Configurando el Sarg

Voy a citar los principales parámetros y el archivo se explica

Definiendo el idioma

language Portuguese

Título del informe

title “Informes de acceso de usuarios de Squid”

Directorio donde se generarán los informes

output_dir /home/squid/report/

Para generar informes basados en el nombre del usuario (requiere un Proxy configurado con autenticación de usuarios).

user_ip no
Esta opción permite especificar el lugar generado para el registro de Squid # TAG: access_log file

#access_log /usr/local/squid/logs/access.log
#access_log /var/log/squid/logs/access.log # RedHat Versão
En esta opción no necesita modificarse nada, por lo tanto el tipo de acceso al sitio está sobre el tipo de informe de acuerdo con. # TAG: report_type type

Existen las siguientes opciones:

Topsites - Sitios más visitados por conexión y bytes.
Sites_users - Muestra qué usuarios han accedido a un sitio específico.
Users_sites - Muestra los sitios a los que ha accedido un usuario específico.
Date_time - Bytes utilizados/trafegados por día y hora.
Denied - Muestra intentos de acceso a sitios prohibidos por las ACLs.
Auth_failures - Muestra intentos de autenticación (error en la escritura de la contraseña de autenticación) imperfecciones de un usuario.

Después de terminar la configuración del Sarg, es suficiente generar los informes y a continuación voy a mostrar algunos ejemplos de cómo usar.

Por ejemplo, quiero enviar un correo electrónico del informe para la fecha: sarg -e [email protected] -d 01/01/2003-06/01/2003

Otro ejemplo muy interesante sería para la dirección URL, que en este caso generaría el informe solo de las direcciones descritas: sarg -s www.linuxit.com.br, www.myunix.org

Configurando el formato de fecha sarg -d [e=Europa -> dd/mm/aa], u=EUA -> mm/dd/aa]

Informe para usuario e IP sarg -i wrochal 10.100.0.101

Informe por hora sarg -t [HH, HH:MM, HH:MM:SS]

Informe por Usuario sarg -u wrochal

Ahora ya tienes suficiente para crear el informe de la habilidad que deseas y mucha buena suerte.

Informe con exclusión de sitios, cadenas y usuarios

Mucha gente pregunta cómo generar informes excluyendo ciertos sitios, usuarios y cadenas. Conoce cómo usar este recurso:

exclude.hosts - Aquí cada línea tendrá un dominio/URL que no se mostrará en el informe. Útil para colocar, por ejemplo, direcciones de descarga de la Intranet que pasan por el Squid, pero no consumen banda de Internet.

Coloca en el archivo sarg.conf: exclude_hosts /etc/sarg/exclude.hosts

exclude.strings - si alguna línea del archivo de registro contiene una de las cadenas de este archivo (cada cadena por línea), esta línea de registro será ignorada en el informe. Con esto puedes filtrar cualquier cosa del informe.

Coloca en el archivo sarg.conf: exclude_string /etc/sarg/exclude.strings

exclude.users - los usuarios que estarán en este archivo (separados por línea) no se incluirán en el informe.

Coloca en el archivo sarg.conf: exclude_users /etc/sarg/exclude.users

Monitoreo con webalizer

El Webalizer funciona de manera diferente al Sarg, crea informes con totales, enfatizando más el análisis de banda, throughput, etc. Es una excelente opción para comparar el uso de la red durante diferentes períodos.

Sin embargo, para el monitoreo de accesos de los usuarios, el Sarg es la mejor alternativa, el Webalizer crea informes basados en los servicios Squid y Apache

Instalando webalizer

Descarga: http://www.mrunix.net/webalizer/download.html

Después de descargar, descomprime e instala: # ./configure

Opciones avanzadas:

Instalando con definición de idioma, verifica el directorio lang que tiene soporte.

–with-language=

ejemplo

–with-language=french

Parámetros principales

Qué archivo de registros contiene los datos necesarios para la generación del informe.

LogFile /var/log/squid/access.log

Qué tipo de servicio se generará el informe.

LogType squid

Directorio donde se generará el informe

OutputDir /home/webalizer/

Calamaris

El Calamaris es un software escrito en Perl que efectúa la generación de informes detallados del uso de Internet utilizando los archivos de registro de algunos servidores proxy, como NetCache, Inktomi Traffic Server, Oops! servidor proxy, Novell Internet Caching System, Compaq Tasksmart, servidor proxy Netscape/iplanet y claramente el Squid. Los informes generados son muy simples en la presentación, sin embargo, muy ricos en detalles extraídos de los archivos de registro, pueden generarse en el mismo formato HTML o en texto para ser enviados por correo electrónico.

El uso de este software es muy simple, primero hay que bajar la versión más reciente en http://cord.de/tools/squid/calamaris/Welcome.html.en, descomprimir el archivo en el directorio de su preferencia, en nuestro caso /usr/local/calamaris, después de esto ya se puede usar. A continuación, tenemos un ejemplo simple de comando para la generación de los informes de registro de Squid. # /usr/local/calamaris/calamaris -a -F html /var/log/squid/access.log >/srv/www/default/html/calamaris/index.html

El comando anterior ya es suficiente para la generación de excelentes informes del análisis de registros. En este caso, usamos la opción - que le dice a Calamaris que genere todos los informes, - F HTML especifica el formato del informe que queremos, en este caso en HTML, /var/log/squid/access.log es donde se encuentra el archivo de registro de Squid y /srv/www/default/html/calamaris/index.html la ubicación del informe generado, en este caso una carpeta en el árbol de Apache de forma que pueda ser analizado desde cualquier estación de la red.

Podemos observar en la Figura 1 los tipos de informes generados, así como en la Figura 2 uno de estos informes, que en la muestra información sobre solicitudes, organizadas por extensión.

Figura 01

Figura 02

Lo ideal es que se desarrolle un script que nos permita programar la ejecución de Calamaris para cron, pero esto no se tratará aquí dado que esto dependerá de las necesidades de cada uno, así como el propio software ya trae algunos ejemplos de cómo hacer esto.

Squid-Graph

El Squid-Graph, al igual que el Calamaris, está escrito en Perl, sin embargo, como el propio nombre menciona, es un generador de gráficos del uso del servidor proxy. Se presenta información más sintética de los accesos y transferencias de datos, pero no por ello deja de ser una alternativa interesante y puede complementar el conjunto de herramientas de administración.

Se puede obtener en http://squid-graph.securlogic.com/files/stable/squid-graph-3.1.tar.gz, siendo esta la última versión disponible en este momento. Es importante recordar que es necesario que esté instalado el módulo Perl GD, que con seguridad debe estar en los CD de su distribución favorita.

El proceso de instalación es muy simple, por lo tanto, solo se trata de descomprimir los archivos en el directorio elegido, ya que no necesitamos compilar nada. En nuestro caso, lo instalamos en /usr/local/squid-graph /, como muestra el comando a continuación. **# tar xzvf squid-graph-3.1.tar.gz -C /usr/local/

La ejecución del comando para la generación de los gráficos dependerá de cómo y cuáles se generarán, sin embargo, una buena forma de ejecutar este comando es así se generan los gráficos de forma acumulativa que se presenta a continuación. #/usr/local/squid-graph/bin/squid-graph -c -n -o=/srv/www/default/html/squid-graph/ –title=”Gráfico de uso do proxy” < /var/log/squid/access.log
En el comando anterior usamos la opción - c, de esta forma estamos generando los gráficos acumulativos, es decir, tendremos dos gráficos para los accesos y transferencias TCP, respectivamente, y más dos gráficos para los accesos y transferencias UDP. La opción - n hace que no se “ecoen” en la pantalla la información del procesamiento del registro de Squid, - o=/srv/www/default/html/squid-graph/ representa el lugar donde se grabarán los archivos (HTML e imágenes), - title=”Gráfico de uso do proxy” personaliza el encabezado de la página HTML, donde se muestran los gráficos, y finalmente tenemos el archivo de registro de Squid.

Existen otras opciones interesantes, como generar gráficos para una URL específica o usando una, como podemos ver a continuación con el uso del comando 3: # cat /var/log/squid/access.log | grep “ginux.comp.ufla.br” | /usr/local/squid-graph/bin/squid-graph -c -n / -o=/srv/www/default/html/squid-graph/ –title=”Gráfico de uso do proxy”

Para generar un gráfico de los accesos de un determinado usuario, solo necesitaríamos sustituir el comando grep mostrado anteriormente, por grep “192.168.16.3”, asumiendo que 192.168.16.3 es la IP de su usuario. También podemos usar el mismo recurso para gráficos de tipos determinados de archivos, usando la extensión como parámetro, por ejemplo, grep “.mp3” es un buen comienzo. Como ya se ha podido percibir, podemos combinar el uso de Squid-Graph con otros comandos de Linux, de forma que podemos tener una infinidad de opciones para su uso, además existen otras opciones interesantes que no se han tratado aquí.

Autor: William Rocha - [email protected]
Traducción: Tatiana Freitas - [email protected]

Referencias:

Hugo Cisneiros, hugo_arroba_devin_ponto_com_ponto_br - http://www.devin.com.br/eitch/
Libro Squid - Configurando Proxy para Linux (Antonio Marcelo)
Webalizer - http://www.mrunix.net/webalizer/
Sarg - http://sarg.sourceforge.net/
Uso y Configuración del SQUID (Parte 1 y Parte 2) - Por Antonio Claudio Sales Pinheiro - [email protected]