Surveillance de l'accès au serveur SQUID

Surveillance en ligne pour la ligne de commande Pour surveiller toute mise à jour, en ligne, nous pouvons compter sur le paramètre “-f” de la commande “tail”, en appliquant des filtres en fonction de son intérêt.

# tail -f /var/log/squid/access.log | awk ‘{print$3 “ “ $8 “ “ $7}’

192.168.0.1 wrochal http://www.linuxit.com.br/
192.168.0.1 wrochal http://www.linuxit.com.br/log.gif
192.168.0.1 wrochal http://www.linuxit.com.br/banners/linuxmall.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/01.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/02.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/03.gif
192.168.0.1 wrochal http://www.linuxit.com.br/parcerios/04.gif
192.168.0.1 wrochal http://www.linuxit.com.br/google.html

Surveillance avec le SARG

Avec le Sarg, il est possible de suivre avec plus de détails les accès des utilisateurs, voici un exemple de la façon dont le Sarg génère des rapports, il est possible de configurer le Sarg dans plusieurs langues, à travers le fichier de configuration /etc/sarg/sarg.conf, la configuration du Sarg est simple et facile.

On en sait un peu plus sur Sarg et son créateur ( Plus d’informations).

Installation du Sarg

Le SARG peut être obtenu à l’adresse suivante : http://sarg.sourceforge.net/sarg.php. Après l’avoir téléchargé, il se décompresse en utilisant la commande : # tar -xzvf sarg-1.3-PRE2.tar.gz

Après cela, dans le répertoire où le programme a été décompressé, tapez : # ./configure

Par défaut, le SARG est installé dans le répertoire /usr/local/sarg. Dans le passé /etc/sarg/ est l’endroit où nous trouverons le fichier de configuration sarg.conf.

Configuration du Sarg

Je vais citer les principaux paramètres et le fichier est expliqué

Définir la langue

language Portuguese

Titre du rapport

title “Rapports d’accès des utilisateurs Squid”

Répertoire où les rapports seront générés

output_dir /home/squid/report/

Pour générer des rapports basés sur le nom de l’utilisateur (cela nécessite un Proxy configuré avec authentification des utilisateurs).

user_ip no
Cette option permet de spécifier l’emplacement généré pour le journal de Squid # TAG : fichier access_log

#access_log /usr/local/squid/logs/access.log
#access_log /var/log/squid/logs/access.log # Version RedHat Dans cette option, rien n’a besoin d’être modifié, car le type d’accès au site dépend du type de rapport en conséquence. # TAG : report_type type

Les options suivantes existent :

Topsites - Sites les plus visités par connexion et octets.
Sites_users - Échantillon des utilisateurs ayant accès à un site spécifique.
Users_sites - Échantillon des sites auxquels un utilisateur spécifique a eu accès.
Date_time - Octets utilisés/trafiqués par jour et par heure.
Denied - Échantillon des tentatives d’accès aux sites interdits pour les ACL.
Auth_failures - Échantillon des tentatives d’authentification (erreur dans la saisie du mot de passe d’authentification) imperfections d’un utilisateur.

Après avoir terminé la configuration du Sarg, il suffit de générer les rapports et ci-dessous je vais montrer quelques exemples de comment les utiliser.

Par exemple, je veux envoyer un e-mail du rapport pour la date : sarg -e [email protected] -d 01/01/2003-06/01/2003

Un autre exemple très intéressant serait pour l’adresse URL, qui dans ce cas générerait uniquement le rapport des adresses décrites : sarg -s www.linuxit.com.br, www.myunix.org

Configurer le format de date sarg -d [e=Europe -> dd/mm/aa], u=USA -> mm/dd/aa]

Rapport pour utilisateur et IP sarg -i wrochal 10.100.0.101

Rapport pour heure sarg -t [HH, HH:MM, HH:MM:SS]

Rapport pour Utilisateur sarg -u wrochal

Maintenant, vous êtes suffisamment équipé pour créer le rapport de la compétence que vous désirez et bonne chance.

Rapport avec exclusion de sites, chaînes et utilisateurs

Beaucoup de gens demandent comment générer un rapport en excluant certains sites, utilisateurs et chaînes. Voici comment utiliser cette ressource :

exclude.hosts - Ici, chaque ligne contiendra un domaine/URL qui ne sera pas affiché dans le rapport. Utile pour placer, par exemple, des adresses de téléchargement de l’Intranet qui passent par le Squid, mais ne consomment aucune bande passante Internet.

Ajoutez dans le fichier sarg.conf : exclude_hosts /etc/sarg/exclude.hosts

exclude.strings - si une ligne du fichier journal contient l’une des chaînes de ce fichier (chaque chaîne par ligne), cette ligne de journal sera ignorée dans le rapport. Avec cela, vous pouvez filtrer n’importe quoi du rapport.

Ajoutez dans le fichier sarg.conf : exclude_string /etc/sarg/exclude.strings

exclude.users - les utilisateurs qui seront dans ce fichier (séparés par ligne) ne seront pas inclus dans le rapport.

Ajoutez dans le fichier sarg.conf : exclude_users /etc/sarg/exclude.users

Surveillance avec webalizer

Le Webalizer fonctionne différemment du Sarg, crée des rapports avec des totaux, mettant davantage l’accent sur l’analyse de la bande, du débit, etc. C’est une excellente option pour comparer l’utilisation du réseau pendant différentes périodes.

Cependant, pour la surveillance des accès des utilisateurs, le Sarg est la meilleure alternative, le Webalizer crée des rapports basés sur les services Squid et Apache

Installation de webalizer

Téléchargez : http://www.mrunix.net/webalizer/download.html

Après le téléchargement, décompressez et installez-le : # ./configure

Options avancées :

Installation avec définition de langue, vérifiez le répertoire lang qui a le support.

–with-language=

exemple

–with-language=french

Paramètres principaux

Quel fichier de journaux contient les données nécessaires à la génération du rapport.

LogFile /var/log/squid/access.log

Quel type de service le rapport sera généré.

LogType squid

Répertoire où le rapport sera généré

OutputDir /home/webalizer/

Calamaris

Le Calamaris est un logiciel écrit en Perl qui effectue la génération de rapports détaillés sur l’utilisation d’Internet en utilisant les fichiers journaux de certains serveurs proxy bien connus, tels que NetCache, Inktomi Traffic Server, Oops! serveur proxy, Novell Internet Caching System, Compaq Tasksmart, serveur proxy Netscape/iplanet et bien sûr le Squid. Les rapports générés sont très simples dans leur présentation, mais très riches en détails extraits des fichiers journaux, ils peuvent être générés au format HTML ou en texte à envoyer par e-mail.

L’utilisation de ce logiciel est très simple, il faut d’abord télécharger la version la plus récente sur http://cord.de/tools/squid/calamaris/Welcome.html.en, décompresser l’archive dans le répertoire de votre choix, dans notre cas /usr/local/calamaris, après cela, vous pouvez déjà l’utiliser. Ci-dessous, nous avons besoin d’un exemple simple de commande pour générer les rapports de journal de Squid. # /usr/local/calamaris/calamaris -a -F html /var/log/squid/access.log >/srv/www/default/html/calamaris/index.html

La commande ci-dessus est suffisante pour générer d’excellents rapports d’analyse de journaux. Dans ce cas, nous utilisons l’option - qui indique à Calamaris de générer tous les rapports, - F HTML spécifie le format du rapport que nous voulons, dans ce cas en HTML, /var/log/squid/access.log est l’endroit où se trouve le fichier journal de Squid et /srv/www/default/html/calamaris/index.html est l’emplacement du rapport généré, dans ce cas un dossier dans l’arborescence d’Apache afin qu’il puisse être analysé depuis n’importe quelle station du réseau.

Nous pouvons observer dans la Figure 1 les types de rapports générés, ainsi que dans la Figure 2 l’un de ces rapports, qui dans l’échantillon d’informations sur les demandes, organisées par extension.

Figure 01

Figure 02

L’idéal est de développer un script afin que nous puissions programmer l’exécution de Calamaris pour cron, mais cela ne sera pas traité ici étant donné que cela dépendra des besoins de chacun, ainsi que le logiciel lui-même propose déjà quelques exemples de comment faire cela.

Squid-Graph

Le Squid-Graph, tout comme le Calamaris, est écrit en Perl, cependant comme le nom l’indique, c’est un générateur de graphiques de l’utilisation du serveur proxy. Il vise à présenter des informations plus synthétiques sur les accès et les transferts de données, mais cela ne le rend pas moins une alternative intéressante et peut compléter le rôle des outils d’administration.

Il peut être obtenu sur http://squid-graph.securlogic.com/files/stable/squid-graph-3.1.tar.gz, étant la dernière version disponible à ce moment. Il est important de rappeler qu’il est nécessaire d’installer le module Perl GD, qui doit certainement se trouver sur le CD de votre distribution préférée.

Le processus d’installation est très simple, il suffit de décompresser les archives dans le répertoire choisi, car nous n’avons besoin de compiler rien. Dans notre cas, nous installons dans /usr/local/squid-graph /, comme le montre la commande ci-dessous. **# tar xzvf squid-graph-3.1.tar.gz -C /usr/local/

L’exécution de la commande pour la génération des graphiques dépendra de la manière dont et de ce qui devra être généré, cependant une bonne façon de l’exécuter est ainsi que les graphiques de forme cumulative sont présentés ci-dessous. #/usr/local/squid-graph/bin/squid-graph -c -n -o=/srv/www/default/html/squid-graph/ –title=”Graphique d’utilisation du proxy” < /var/log/squid/access.log
Dans la commande ci-dessus, nous utilisons l’option - c, de cette manière nous générons les graphiques cumulatifs, c’est-à-dire que nous aurons deux graphiques pour les accès et les transferts TCP, respectivement, et deux autres graphiques pour les accès et les transferts UDP. L’option - n fait en sorte que les informations du traitement du journal de Squid ne soient pas affichées à l’écran, - o=/srv/www/default/html/squid-graph/ représente l’endroit où les fichiers seront enregistrés (HTML et images), - title=”Graphique d’utilisation du proxy” personnalise le titre de la page HTML, où les graphiques sont affichés, et enfin nous avons le fichier journal de Squid.

D’autres options intéressantes existent, comme générer des graphiques pour une URL spécifique ou en utilisant une, comme nous pouvons le voir ci-dessous avec l’utilisation de la commande 3 : # cat /var/log/squid/access.log | grep “ginux.comp.ufla.br” | /usr/local/squid-graph/bin/squid-graph -c -n / -o=/srv/www/default/html/squid-graph/ –title=”Graphique d’utilisation du proxy”

Pour générer un graphique des accès d’un utilisateur déterminé, il suffira de remplacer la commande grep ci-dessus par grep “192.168.16.3”, en supposant que 192.168.16.3 soit l’IP de votre utilisateur. Nous pouvons également utiliser la même ressource pour des graphiques de types de fichiers déterminés, en utilisant l’extension comme paramètre, par exemple grep “.mp3” est un bon début. Comme vous pouvez le percevoir, nous pouvons combiner l’utilisation de Squid-Graph avec d’autres commandes Linux, de sorte que nous puissions avoir une infinité d’options pour son utilisation, de plus, il existe d’autres options intéressantes qui n’ont pas été traitées ici.

Auteur : William Rocha - [email protected]
Traduction : Tatiana Freitas - [email protected]

Références :

Hugo Cisneiros, hugo_arroba_devin_ponto_com_ponto_br - http://www.devin.com.br/eitch/
Livre Squid - Configurer Proxy pour Linux (Antonio Marcelo)
Webalizer - http://www.mrunix.net/webalizer/
Sarg - http://sarg.sourceforge.net/
Utilisation et configuration du SQUID (Partie 1 et Partie 2) - Par Antonio Claudio Sales Pinheiro - [email protected]