Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Traffic-Monitoring mit Squid

Frage Linux

Mitglied: harald21

harald21 (Level 2) - Jetzt verbinden

12.11.2010 um 14:23 Uhr, 8185 Aufrufe, 8 Kommentare

Hallo zusammen,

bei uns gibt es eine von allen Mitarbeiter unterschriebene Betriebsvereinbarung, das die Systeme ausschließlich zu beruflichen Zwecken zu nutzen sind und auch dementsprechend überwacht werden dürfen. Bisher wurde allerdings kein Monitoring durchgeführt und eine private Internetnutzung der Mitarbeiter während der Pausenzeiten geduldet.

Jetzt ist es allerdings vorgekommen, das durch einzelne Mitarbeiter die Internetnutzung soweit zugenommen hat, das für alle anderen eine "normale" Nutzung nicht mehr möglich war!!!

Eine Auswertung auf der Firewall hat eindeutig unseren Proxy (Squid 3.0stable25 auf Debian Lenny) als Quelle identifiziert. Leider komme ich an dieser Stelle mit der Ermittlung der Verursacher nicht weiter, da anscheinend im access.log nicht sämtlicher Traffic protokolliert wird.

Eine Auswerung mit dem Tool Internet Access Monitor (http://www.redline-software.com/eng/products/iam/ ) liefert zwar einen eindeutigen Trend, jedoch zeigt mir die Auswertung dort nur einen wesentlich geringeren Anteil des tatsächlichen Traffics an.

Welche Einstellung muß ich im Squid vornehmen, damit sämtlicher Traffic protokolliert wird?

Die Einstellung für das Logformat ist bisher folgende:
logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %>Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh

mfg
Harald
Mitglied: Der-Phil
12.11.2010 um 16:10 Uhr
Hallo,

das ist eigenartig.... Ich sehe eigentlich nicht, dass etwas fehlt.

Magst Du vielleicht mal eine andere Auswertungssoftware testen? Ich habe in einem solchen Fall "Sawmill" genutzt...

Was fehlt denn?

Phil
Bitte warten ..
Mitglied: Der-Phil
12.11.2010 um 16:17 Uhr
Hallo,

noch eine Ergänzung:

ich habe einen Squid3, bei dem sogar die logformat-Zeile ganz auskommentiert ist. Sogar bei diesem Squid kann ich alles auswerten!

Phil
Bitte warten ..
Mitglied: harald21
12.11.2010 um 22:34 Uhr
Hallo,

danke für deine Mühe. Wir haben hier zusätzlich zum Squid-Log und dem Firewall-Log, noch Port-Mirroring auf dem Internet-Switch, dort greifen wir direkt alle Pakete ab und machen eine Traffic-Analyse. Dort und in der Firewall sehen wir, das der fragliche Traffic über den Sqid läuft! Wenn ich jetzt die Datenmenge per Port-Mirroring ermittle und mit der im Squid protokollierten Datenmenge vergleiche, dann fehlen im Squid etliche GB!

Ich vermute deshalb, das irgendwie im Squid nicht alles protokolliert wird - das bezieht sich jetzt aber nur auf die heruntergeladene Datenmenge.

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
13.11.2010 um 13:11 Uhr
Hallo,

puh... das ist schwierig.

Ich bin mir nicht sicher, aber IMHO werden ja z.B. HTTPS-Verbindungen transparent durchgereicht und nicht voll geloggt.
Vielleicht ist das der fehlende Traffic.

Phil
Bitte warten ..
Mitglied: harald21
15.11.2010 um 15:28 Uhr
Hallo Phil,

möglich, das das HTTPS-Traffic ist - kann man den größenmäßig doch irgendwie erfassen?
Evtl mit einer neuen Squid-Version? (3.0stable25 --> 3.1.9)

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
15.11.2010 um 15:32 Uhr
Hallo,

da kenne ich leider keine Möglichkeit per Squid das auszuwerten.

Mir fällt da nur eine Variante ein: Per IPTables... Du kannst per IPTables den ausgehenden Verkehr loggen lassen und dann per reverse-lookup versuchen, das Ganze auszuwerten.

Phil
Bitte warten ..
Mitglied: harald21
16.11.2010 um 12:10 Uhr
Hallo Phil,

danke für deine Hilfe. Ich denke, das ganze mit iptables auszuwerten wird zu aufwändig (außerdem habe ich die Befürchung, das das die Performance negativ beeinflußt).
Wir werden das glaube ich anders lösen (müssen)

mfg
Harald
Bitte warten ..
Mitglied: Der-Phil
16.11.2010 um 13:59 Uhr
Hallo,

auf die Performance geht das nicht wirklich! Das kannst Du entspannt sehen bei IPTables.

Ob es Sinn macht, ist natürlich die andere Frage

Phil
Bitte warten ..
Ähnliche Inhalte
Debian
Squid Proxyserver - HTTPS Problem (1)

Frage von Cartman zum Thema Debian ...

Monitoring
Smart TV als Monitoring Monitor? (2)

Frage von MisterMuster zum Thema Monitoring ...

Debian
Linux Sprachsynthese für Monitoring (4)

Frage von diemilz zum Thema Debian ...

Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(4)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Windows 7
gelöst Lokales Adminprofil defekt (25)

Frage von Yannosch zum Thema Windows 7 ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

LAN, WAN, Wireless
gelöst Statische Routen mit ISC-DHCP Server für Android Devices (22)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Exchange Server
gelöst Migration Exchange 2007 zu 2013 - Public Folder teilweise weg (16)

Frage von Andy1987 zum Thema Exchange Server ...