ich arbeite erst seit ein paar Monaten als Systemadministrator und habe daher noch viel zu lernen. Als Erstes möchte ich Folgendes tun:
Wir haben eine OpenBSD 4.5-Box, die als Firewall, DNS, Cache usw. fungiert. Die Box verfügt über zwei Netzwerkkarten, von denen eine direkt mit dem Internet und die andere mit unserem Switch verbunden ist. Für die Protokollanalyse habe ich früher mit Sarg gearbeitet, bin dann aber auf das viel schnellere Free-SA umgestiegen.
Ich verwende einen täglichen Free-SA-Bericht, um die Bandbreitennutzung zu prüfen und unsere 5 größten Bandbreitenverbraucher zu melden (3 Tage die Woche ist Nr. 1 und Sie werden die Pizzas kaufen :D, wir sind ein kleines Unternehmen mit ~20 Mitarbeitern, also kennen wir uns sehr gut aus). Das hat bis vor Kurzem wirklich gut funktioniert, als einer von uns einige Sachen per Torrent herunterladen musste (~3 GB) und da die Pizza-Regel für nicht arbeitsbezogene Downloads aktiv ist, teilte er mir mit (bestätigt), dass sein Download tatsächlich arbeitsbezogen war, also würde ich diese 3 GB von seinem Kontingent abziehen, aber zu meiner Überraschung zeigte das Protokoll diese 3 GB nicht an, da sein IP-Verbrauch nur etwa 290 MB betrug.
Seit Kurzem, seit Beginn der FIFA-Weltmeisterschaft, wissen wir, dass einige unserer Mitarbeiter sich das Streaming der Spiele ansehen. Wir wissen es und es kümmert uns nicht, da wir, wie bereits erwähnt, ein kleines Unternehmen sind und daher keine restriktiven Richtlinien haben. Wir können alle chatten, YouTube schauen und alles herunterladen, was wir wollen, ABER uns sind nur 300 MB pro Tag gestattet, sonst landen wir in der Top-5-Pizza-Liste. Dieser Streaming-Verbrauch wird jedoch auch in den Free-SA-Berichten nicht angezeigt.
Meine Frage ist also, warum diese Daten aus den Berichten ausgeschlossen werden? Ich denke, dass die Free-SA-Berichte nur bestimmte Arten von Dingen auflisten, aber ich frage mich auch, ob es die Squid-Protokolle sind, die diese Verbindungen nicht protokollieren.
Wir sind für jede Hilfe, Anleitung, jeden Rat und jede Klarstellung dankbar.
Antwort1
Ich denke, dass Squid Ihre Webverbindungen protokolliert, alles, was über ihn per Proxy läuft (wie etwa Port-80-Anfragen für Webseiten). Torrents laufen dort nicht durch, also werden sie vom Squid-Server nicht gesehen.
Wenn Ihr Router dies unterstützt, können Sie mit SNMP möglicherweise Statistiken zur Bandbreitennutzung von dort abrufen, um sich einen Überblick über die allgemeine Nutzung Ihres Netzwerks zu verschaffen. Die individuelle Nutzung wird jedoch nicht angezeigt.
Andernfalls müssen Sie nach einer Möglichkeit suchen, Torrent-Verbindungen über einen Proxy zu verwalten oder eine Firewall auszuführen, die Protokollierung per IP verwendet, möglicherweise eine schlüsselfertige Firewall auf Linux- oder BSD-Basis mit Protokollierungsfunktion (Smoothwall usw.).
Antwort2
Ja, wie andere sagen, umgehen Torrent-Downloads Squid.
Sie sollten etwas anderes versuchen. Netflow zu erstellen und zu analysieren (man pflow) ist die beste und vielseitigste Lösung. Dies erfordert einige Anstrengungen. Es gibt einige Tools, mit denen Sie Ihre Lösung erstellen können.http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html
Man kann stattdessen einen einfacheren Weg wählen, z. B. die Verwendung ntopzum Erstellen von Berichten oder die Installation iptraf.