No escritório, gostaríamos de ter uma visão geral todos os meses dos sites visitados pelos usuários em nossa rede. Há alguma ferramenta existente em execução no Linux que possa produzir um relatório desse tipo cheirando o tráfego e gerando estatísticas de URL?
Existem provavelmente várias maneiras de fazer isso. Uma das maneiras mais comuns de fazer isso é usar o Squid como um transparente proxy e, em seguida, monitora os logs do squid . A Shorewall pode ajudar a facilitar a configuração .
Você pode encontrar esta postagem em monitorar o tráfego do escritório de maneira útil também.
Cheirando o tráfego ????
Em princípio, o PasTmon pode fazer isso - mas uma solução muito melhor seria forçar todo o tráfego através de um proxy como verniz ou lula e analisar os logs.
Existem prós e contras em abordagens de monitoramento ativo e passivo.
Como outros sugeriram, o uso de um proxy transparente é uma das opções de "monitoramento ativo". Ele não só permite monitorar, mas também colocar controles depois de ter descoberto o uso errôneo.
Por outro lado, existem alguns contras se você está apenas interessado em monitorar,
Se você já consegue farejar o tráfego certo, por exemplo, em torno do seu firewall para a WAN, você tem várias opções passivas.
Uma nova opção passiva é uma solução baseada em Linux chamada Medição de rede e análise forense da Trisul . Ele é executado em uma caixa de 64 bits do Ubuntu 10.04 ou Centos 5.x. Ele escutará o tráfego sniffed (ou Netflow, que obviamente não é relevante neste caso) e produzirá todos os tipos de relatórios de tráfego. Se você tiver a documentação necessária em vigor em seu país, ela também poderá ser usada para registrar todas as atividades até o nível de fluxo e pacote e usar essas informações para investigar violações de segurança.
Para HTTP, você pode:
Eu acho que o ntop também pode fazer a maioria dos itens acima, se você puder configurá-lo corretamente com o RRD ou o plugin MySQL.
Trisul é totalmente gratuito se você estiver monitorando uma janela rolante de 3 dias. No seu caso, você pode gerar e enviar por e-mail relatórios em PDF diários e, em seguida, agregá-los mensalmente, para que não lhe custe nada.
Carrega se você estiver usando como servidor proxy.
Se você estiver usando um roteador BoradBand de estilo doméstico, a maioria deles também possui funções de registro.
Existem também potenciais problemas legais com "espionagem" ou "viagens de pesca" desta forma.
MK
o ntop pode fazer isso, mas se você ainda não tem um proxy do squid, você deve ter um configurado - isso tornará esse tipo de coisa muito mais fácil e permitirá filtrar o que é permitido e o que não é ou o tráfego do acelerador.
Como outros já disseram, usar um proxy adequado e processar os logs é o melhor. Mas para uma correção barata e alegre, e supondo que você tenha configurado sua infra-estrutura de switches para farejar o tráfego, acho que
ngrep -tiw -d eth0 GET port 80
filtra os URLs solicitados com bastante eficiência; enviar isso para um arquivo usando awk ou perl para pós-processá-lo e extrair apenas o URL puro seria fácil.
Como outros já disseram, você deve ter certeza de que tem o consentimento do proprietário da rede e, no mínimo, informou todos os usuários dessa prática antes de fazê-lo.
Tags monitoring http