Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Traffic-Monitoring mit Squid

Frage Linux

Mitglied: harald21

harald21 (Level 2) - Jetzt verbinden

12.11.2010 um 14:23 Uhr, 8008 Aufrufe, 8 Kommentare

Hallo zusammen,

bei uns gibt es eine von allen Mitarbeiter unterschriebene Betriebsvereinbarung, das die Systeme ausschließlich zu beruflichen Zwecken zu nutzen sind und auch dementsprechend überwacht werden dürfen. Bisher wurde allerdings kein Monitoring durchgeführt und eine private Internetnutzung der Mitarbeiter während der Pausenzeiten geduldet.

Jetzt ist es allerdings vorgekommen, das durch einzelne Mitarbeiter die Internetnutzung soweit zugenommen hat, das für alle anderen eine "normale" Nutzung nicht mehr möglich war!!!

Eine Auswertung auf der Firewall hat eindeutig unseren Proxy (Squid 3.0stable25 auf Debian Lenny) als Quelle identifiziert. Leider komme ich an dieser Stelle mit der Ermittlung der Verursacher nicht weiter, da anscheinend im access.log nicht sämtlicher Traffic protokolliert wird.

Eine Auswerung mit dem Tool Internet Access Monitor (http://www.redline-software.com/eng/products/iam/ ) liefert zwar einen eindeutigen Trend, jedoch zeigt mir die Auswertung dort nur einen wesentlich geringeren Anteil des tatsächlichen Traffics an.

Welche Einstellung muß ich im Squid vornehmen, damit sämtlicher Traffic protokolliert wird?

Die Einstellung für das Logformat ist bisher folgende:
logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh

mfg
Harald
Mitglied: Der-Phil
12.11.2010 um 16:10 Uhr
Hallo,

das ist eigenartig.... Ich sehe eigentlich nicht, dass etwas fehlt.

Magst Du vielleicht mal eine andere Auswertungssoftware testen? Ich habe in einem solchen Fall "Sawmill" genutzt...

Was fehlt denn?

Phil
Bitte warten ..
Mitglied: Der-Phil
12.11.2010 um 16:17 Uhr
Hallo,

noch eine Ergänzung:

ich habe einen Squid3, bei dem sogar die logformat-Zeile ganz auskommentiert ist. Sogar bei diesem Squid kann ich alles auswerten!

Phil
Bitte warten ..
Mitglied: harald21
12.11.2010 um 22:34 Uhr
Hallo,

danke für deine Mühe. Wir haben hier zusätzlich zum Squid-Log und dem Firewall-Log, noch Port-Mirroring auf dem Internet-Switch, dort greifen wir direkt alle Pakete ab und machen eine Traffic-Analyse. Dort und in der Firewall sehen wir, das der fragliche Traffic über den Sqid läuft! Wenn ich jetzt die Datenmenge per Port-Mirroring ermittle und mit der im Squid protokollierten Datenmenge vergleiche, dann fehlen im Squid etliche GB!

Ich vermute deshalb, das irgendwie im Squid nicht alles protokolliert wird - das bezieht sich jetzt aber nur auf die heruntergeladene Datenmenge.

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
13.11.2010 um 13:11 Uhr
Hallo,

puh... das ist schwierig.

Ich bin mir nicht sicher, aber IMHO werden ja z.B. HTTPS-Verbindungen transparent durchgereicht und nicht voll geloggt.
Vielleicht ist das der fehlende Traffic.

Phil
Bitte warten ..
Mitglied: harald21
15.11.2010 um 15:28 Uhr
Hallo Phil,

möglich, das das HTTPS-Traffic ist - kann man den größenmäßig doch irgendwie erfassen?
Evtl mit einer neuen Squid-Version? (3.0stable25 --> 3.1.9)

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
15.11.2010 um 15:32 Uhr
Hallo,

da kenne ich leider keine Möglichkeit per Squid das auszuwerten.

Mir fällt da nur eine Variante ein: Per IPTables... Du kannst per IPTables den ausgehenden Verkehr loggen lassen und dann per reverse-lookup versuchen, das Ganze auszuwerten.

Phil
Bitte warten ..
Mitglied: harald21
16.11.2010 um 12:10 Uhr
Hallo Phil,

danke für deine Hilfe. Ich denke, das ganze mit iptables auszuwerten wird zu aufwändig (außerdem habe ich die Befürchung, das das die Performance negativ beeinflußt).
Wir werden das glaube ich anders lösen (müssen)

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
16.11.2010 um 13:59 Uhr
Hallo,

auf die Performance geht das nicht wirklich! Das kannst Du entspannt sehen bei IPTables.

Ob es Sinn macht, ist natürlich die andere Frage

Phil
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Monitoring
Cisco SG300-20 - VLAN traffic monitoring (10)

Frage von fiech93 zum Thema Monitoring ...

Utilities
Monitoring von Traffic u Besuchern und Datenpaketen (8)

Frage von ischbindebaetmaen zum Thema Utilities ...

Visual Studio
Schwellwert Monitoring für DotNet Memory Management Global

Frage von xXEddiXx zum Thema Visual Studio ...

Monitoring
System Monitoring für Windows, Linux (5)

Frage von manuelw zum Thema Monitoring ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...