Tengo solo unos meses trabajando como administrador de sistemas, por lo tanto todavía tengo mucho que aprender, lo primero que me gustaría hacer es lo siguiente:
Tenemos una caja OpenBSD 4.5 que actúa como firewall, dns, caché, etc., la caja tiene 2 tarjetas de red, una conectada directamente a Internet y la otra a nuestro conmutador, solía trabajar con sarg para el análisis de registros pero luego cambié a mucho más rápido free-sa.
Utilizo un informe diario gratuito para verificar el uso de ancho de banda e informar nuestros 5 principales consumidores de ancho de banda (3 días a la semana siendo el número 1 y usted comprará las pizzas :D, somos una empresa pequeña ~20, por lo que estamos muy familiarizados ). Esto funcionó muy bien hasta hace poco, uno de nosotros tuvo que descargar algunas cosas a través de torrent (~3 GB) y como la regla de la pizza está activa para descargas no relacionadas con el trabajo, me dijo (verificó) que su descarga estaba relacionada con el trabajo, así que Descartaría esos 3 GB de su cuota, pero para mi sorpresa, el registro no mostraba esos 3 GB, ya que su consumo de IP era solo de alrededor de 290 MB.
Más recientemente, desde que comenzó la copa mundial de la FIFA, sabemos que algunos de los empleados están viendo el partido en streaming, lo sabemos y no nos importa ya que, como ya se dijo, somos una empresa pequeña por lo que no tenemos políticas restrictivas. Todos podemos chatear, ver YouTube, descargar lo que queramos, PERO solo se nos permiten 300 MB por día, de lo contrario, estarás en el top5-pizza-board, de todos modos, ese consumo de streaming tampoco se muestra en los informes de free-sa.
Entonces mi pregunta es, ¿por qué se excluyen estos datos de los informes? Estoy pensando que los informes de free-sa enumeran solo ciertos tipos de cosas, pero también estoy pensando si los registros de Squid son los que no registran estas conexiones.
Cualquier ayuda, guía, consejo o aclaración se agradece.
Respuesta1
Estoy pensando que squid está registrando sus conexiones web, cualquier cosa enviada a través de él (me gustan las solicitudes del puerto 80 para páginas web). Los torrents no pasan por allí, por lo que el servidor Squid no los ve.
Si su enrutador lo admite, sería mejor que obtenga estadísticas de uso de ancho de banda desde allí con SNMP para tener una idea de qué tipo de uso se realiza a través de su red en general, pero no mostrará el uso individual.
De lo contrario, tendrá que buscar una forma de proxy de conexiones de torrent o ejecutar un firewall que utilice el registro por IP, tal vez un firewall llave en mano basado en Linux o BSD con capacidad de registro (smoothwall, etc.).
Respuesta2
Sí, como dicen otros, las descargas de torrents están evitando Squid.
Deberías intentar algo más. Producir netflow y analizarlo (man pflow) es la mejor y más versátil solución. Esto requiere algo de esfuerzo. Alguna herramienta disponible para construir su soluciónhttp://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html
Se puede elegir una ruta más fácil, como usar ntoppara hacer informes o instalar iptraf.