Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Traffic-Monitoring mit Squid

Mitglied: harald21

harald21 (Level 2) - Jetzt verbinden

12.11.2010 um 14:23 Uhr, 8601 Aufrufe, 8 Kommentare

Hallo zusammen,

bei uns gibt es eine von allen Mitarbeiter unterschriebene Betriebsvereinbarung, das die Systeme ausschließlich zu beruflichen Zwecken zu nutzen sind und auch dementsprechend überwacht werden dürfen. Bisher wurde allerdings kein Monitoring durchgeführt und eine private Internetnutzung der Mitarbeiter während der Pausenzeiten geduldet.

Jetzt ist es allerdings vorgekommen, das durch einzelne Mitarbeiter die Internetnutzung soweit zugenommen hat, das für alle anderen eine "normale" Nutzung nicht mehr möglich war!!!

Eine Auswertung auf der Firewall hat eindeutig unseren Proxy (Squid 3.0stable25 auf Debian Lenny) als Quelle identifiziert. Leider komme ich an dieser Stelle mit der Ermittlung der Verursacher nicht weiter, da anscheinend im access.log nicht sämtlicher Traffic protokolliert wird.

Eine Auswerung mit dem Tool Internet Access Monitor (http://www.redline-software.com/eng/products/iam/ ) liefert zwar einen eindeutigen Trend, jedoch zeigt mir die Auswertung dort nur einen wesentlich geringeren Anteil des tatsächlichen Traffics an.

Welche Einstellung muß ich im Squid vornehmen, damit sämtlicher Traffic protokolliert wird?

Die Einstellung für das Logformat ist bisher folgende:
logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh

mfg
Harald
Mitglied: Der-Phil
12.11.2010 um 16:10 Uhr
Hallo,

das ist eigenartig.... Ich sehe eigentlich nicht, dass etwas fehlt.

Magst Du vielleicht mal eine andere Auswertungssoftware testen? Ich habe in einem solchen Fall "Sawmill" genutzt...

Was fehlt denn?

Phil
Bitte warten ..
Mitglied: Der-Phil
12.11.2010 um 16:17 Uhr
Hallo,

noch eine Ergänzung:

ich habe einen Squid3, bei dem sogar die logformat-Zeile ganz auskommentiert ist. Sogar bei diesem Squid kann ich alles auswerten!

Phil
Bitte warten ..
Mitglied: harald21
12.11.2010 um 22:34 Uhr
Hallo,

danke für deine Mühe. Wir haben hier zusätzlich zum Squid-Log und dem Firewall-Log, noch Port-Mirroring auf dem Internet-Switch, dort greifen wir direkt alle Pakete ab und machen eine Traffic-Analyse. Dort und in der Firewall sehen wir, das der fragliche Traffic über den Sqid läuft! Wenn ich jetzt die Datenmenge per Port-Mirroring ermittle und mit der im Squid protokollierten Datenmenge vergleiche, dann fehlen im Squid etliche GB!

Ich vermute deshalb, das irgendwie im Squid nicht alles protokolliert wird - das bezieht sich jetzt aber nur auf die heruntergeladene Datenmenge.

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
13.11.2010 um 13:11 Uhr
Hallo,

puh... das ist schwierig.

Ich bin mir nicht sicher, aber IMHO werden ja z.B. HTTPS-Verbindungen transparent durchgereicht und nicht voll geloggt.
Vielleicht ist das der fehlende Traffic.

Phil
Bitte warten ..
Mitglied: harald21
15.11.2010 um 15:28 Uhr
Hallo Phil,

möglich, das das HTTPS-Traffic ist - kann man den größenmäßig doch irgendwie erfassen?
Evtl mit einer neuen Squid-Version? (3.0stable25 --> 3.1.9)

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
15.11.2010 um 15:32 Uhr
Hallo,

da kenne ich leider keine Möglichkeit per Squid das auszuwerten.

Mir fällt da nur eine Variante ein: Per IPTables... Du kannst per IPTables den ausgehenden Verkehr loggen lassen und dann per reverse-lookup versuchen, das Ganze auszuwerten.

Phil
Bitte warten ..
Mitglied: harald21
16.11.2010 um 12:10 Uhr
Hallo Phil,

danke für deine Hilfe. Ich denke, das ganze mit iptables auszuwerten wird zu aufwändig (außerdem habe ich die Befürchung, das das die Performance negativ beeinflußt).
Wir werden das glaube ich anders lösen (müssen)

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
16.11.2010 um 13:59 Uhr
Hallo,

auf die Performance geht das nicht wirklich! Das kannst Du entspannt sehen bei IPTables.

Ob es Sinn macht, ist natürlich die andere Frage

Phil
Bitte warten ..
Ähnliche Inhalte
Monitoring
Squid Monitoring
gelöst Frage von akadawaMonitoring2 Kommentare

Hallo liebe Community, seit ein paar Tagen nutzt eine oder mehrere Windows-Maschine/n den kompletten Traffic aus. Leider ist die ...

Monitoring
Network Traffic Monitoring
gelöst Frage von Fears313Monitoring14 Kommentare

Hallo Zusammen Ich bin ja völlig begeistert von der Administrator Community, also kommt mal wieder eine Frage von mir. ...

Utilities

Monitoring von Traffic u Besuchern und Datenpaketen

Frage von ischbindebaetmaenUtilities8 Kommentare

Moin Admins, ich bin gerade dabei mir ein Monitoring für neue Projekte aufzubauen und beschäftige ich mich mit Google ...

Linux

Monitoring IP-Traffic - IP bassiert

gelöst Frage von morbloeLinux10 Kommentare

Hi! Ich habe zwei neue Rechenzentren aufgebaut (VApps (VMware) bei einem Dienstleister) und die beiden via VPN verbunden. Ich ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 2 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 22 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung25 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...