Я работаю системным администратором всего несколько месяцев, поэтому мне еще многому предстоит научиться. Первое, что я хотел бы сделать, это:
У нас есть компьютер OpenBSD 4.5, работающий как брандмауэр, DNS, кэш и т. д., в компьютере есть две сетевые карты, одна из которых подключена напрямую к Интернету, а другая — к нашему коммутатору. Раньше я работал с sarg для анализа журналов, но затем перешел на гораздо более быструю бесплатную версию sa.
Я использую ежедневный отчет free-sa для проверки использования полосы пропускания и сообщаю о наших 5 основных потребителях полосы пропускания (3 дня в неделю — номер 1, и вы будете покупать пиццу :D, у нас небольшая компания из ~20 человек, так что мы очень хорошо знакомы). Это работало очень хорошо до недавнего времени, пока одному из нас не потребовалось загрузить кое-что через торрент (~3 ГБ), и поскольку правило пиццы активно для загрузок, не связанных с работой, он сказал мне (проверено), что его загрузка действительно была связана с работой, поэтому я бы исключил эти 3 ГБ из его квоты, но, к моему удивлению, журнал не показал эти 3 ГБ, так как потребление его IP составляло всего около 290 МБ.
Совсем недавно, с началом чемпионата мира по футболу FIFA, мы узнали, что некоторые сотрудники смотрят трансляцию матча. Мы это знаем, и нас это не волнует, поскольку, как уже было сказано, мы небольшая компания, поэтому у нас нет ограничительной политики. Мы все можем общаться, смотреть YouTube, скачивать все, что захотим. НО нам разрешено использовать только 300 МБ в день, иначе вы попадете в топ-5 рейтинга пиццерий. В любом случае, потребление потокового контента также не отображается в отчетах по бесплатному интернету.
Итак, мой вопрос: почему эти данные исключаются из отчетов? Я думаю, что отчеты free-sa содержат только определенные типы данных, но я также думаю, не являются ли логи Squid теми, которые... эээ... не регистрируют эти соединения.
Любая помощь, руководство, совет или разъяснение будут оценены по достоинству.
решение1
Я думаю, что squid регистрирует ваши веб-соединения, все, что проксируется через него (например, запросы на порт 80 для веб-страниц). Торренты там не проходят, поэтому они не видны серверу squid.
Если ваш маршрутизатор поддерживает эту функцию, возможно, вам будет удобнее извлекать статистику использования полосы пропускания оттуда с помощью SNMP, чтобы получить представление о том, какой объем трафика используется в вашей сети в целом, но при этом не будет отображаться индивидуальное использование.
В противном случае вам придется искать способ проксирования торрент-соединений или запустить брандмауэр, использующий протоколирование по IP, возможно, готовый брандмауэр на базе Linux или BSD с возможностью протоколирования (smoothwall и т. д.).
решение2
Да, как и говорят другие, торрент-загрузки обходят Squid.
Вам следует попробовать что-то другое. Создание netflow и его анализ (man pflow) — лучшее и наиболее универсальное решение. Это требует некоторых усилий. Некоторые инструменты доступны для построения вашего решенияhttp://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html
Вместо этого можно выбрать более простой путь, например, использовать ntopдля создания отчетов или установить iptraf.