Minha empresa está oferecendo sem fio público em vários locais. O acesso é controlado por uma caixa do OpenBSD rodando pf e o Squid no modo proxy transparente. Usando uma ferramenta como o SARG, posso gerar facilmente um relatório HTML que mostre os endereços IP e a quantidade de dados transferidos. No entanto, a utilização dos dados requer que um ser humano examine o log gerado e veja se há algum problema.
Eu queria saber se havia alguma ferramenta que eu pudesse usar para nos enviar um alerta se um único usuário ultrapassasse um certo limite de transferência de dados? Algo que analise o registro como o SARG, mas ao invés de gerar um relatório, simplesmente envie um e-mail se algum "problema" for detectado.
Editar 1-como o squid é configurado como um proxy transparente, não há "usuários" per-se. Em vez disso, ele registra os IPs que posso corresponder aos endereços MAC usando os logs do DHCP. Estou apenas procurando por algo que possa me enviar um e-mail se um determinado IP transferir mais do que x quantidade de dados em um determinado período de tempo.
O uso periódico de pfctl -s state -v e algum uso de AWK funcionaria.
O comando acima também inclui a idade da sessão.
Você teria que pesquisar com bastante regularidade e fazer uso de um cronjob ou similar e fazer alguma mágica de script para agregar endereços IP, mas funcionaria.
Rob