Tenho apenas alguns meses trabalhando como administrador de sistema, portanto ainda tenho muito que aprender, a primeira coisa que gostaria de fazer é a seguinte:
Temos uma caixa OpenBSD 4.5 atuando como firewall, dns, cache etc, a caixa possui 2 placas de rede, uma conectada diretamente à internet e outra ao nosso switch, eu trabalhava com sarg para análise de log mas depois mudei para o muito mais rápido grátis-sa.
Eu uso um relatório diário gratuito para verificar o uso da largura de banda e relatar nossos 5 principais consumidores de largura de banda (3 dias por semana sendo o número 1 e você comprará as pizzas: D, somos uma empresa pequena ~ 20, então estamos muito familiarizados ). isso estava funcionando muito bem até recentemente, um de nós precisou baixar algumas coisas via torrent (~3GB) e como a regra da pizza está ativa para downloads não relacionados ao trabalho, ele me disse (verificou) que seu download estava de fato relacionado ao trabalho, então eu descartaria esses 3GB de sua cota, mas para minha surpresa o log não mostrou esses 3GB, já que seu consumo de IP era de apenas cerca de 290MB.
Mais recentemente, desde o início da copa do mundo da FIFA, sabemos que alguns funcionários estão assistindo ao streaming do jogo, sabemos disso e não nos importamos com isso, pois, como já foi dito, somos uma empresa pequena, portanto não temos políticas restritivas, todos nós podemos conversar, assistir ao youtube, baixar o que quisermos, MAS só temos permissão para 300 MB por dia, caso contrário você entrará no top5-pizza-board, de qualquer forma, esse consumo de streaming também não aparece nos relatórios free-sa.
Então a minha pergunta é: por que esses dados estão sendo excluídos dos relatórios? estou pensando que os relatórios do free-sa listam apenas certos tipos de coisas, mas também estou pensando se os logs do squid são aqueles que não estão, erm... registrando essas conexões.
Qualquer ajuda, guia, conselho ou esclarecimento é apreciado.
Responder1
Estou pensando que o squid está registrando suas conexões da web, qualquer coisa que seja proxy através dele (gostei de solicitações da porta 80 para páginas da web). Torrents não passam por lá, então não são vistos pelo servidor squid.
Se o seu roteador suportar, talvez seja melhor extrair estatísticas de uso de largura de banda com SNMP para ter uma ideia de que tipo de uso está acontecendo em sua rede em geral, mas não mostrará o uso individual.
Caso contrário, você terá que procurar uma maneira de fazer proxy de conexões de torrent ou executar um firewall que use registro por IP, talvez um firewall pronto para uso baseado em Linux ou BSD com capacidade de registro (smoothwall, etc.).
Responder2
Sim, como outros dizem que os downloads de torrent estão contornando o squid.
Você deveria tentar outra coisa. Produzir netflow e analisá-lo (man pflow) é a melhor e mais versátil solução. Isso requer algum esforço. Alguma ferramenta disponível para construir sua soluçãohttp://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html
Pode-se escolher um caminho mais fácil, como usar ntoppara fazer relatórios ou instalar arquivos iptraf.