我的公司正在多个地点提供公共无线networking。 访问由运行pf和Squid的OpenBSD框以透明代理模式控制。 使用像SARG这样的工具,我可以轻松生成一个显示IP地址和传输数据量的HTML报告。 但是,利用这些数据需要一个人来查看生成的日志,看看是否有问题。
我想知道是否有任何工具可以用来发送警报,如果一个用户超过了某个数据传输的阈值? 一些可以像SARG一样分析日志的东西,而不是生成报告,只要发现任何“问题”就发送电子邮件。
编辑1 – 因为squid被设置为透明代理,本身没有“用户”。 相反,它使用DHCP日志logging可以匹配MAC地址的IP。 如果一个给定的IP在给定的时间内传输超过x个数据量,我只是在寻找一些能够给我发送电子邮件的东西。
定期使用pfctl -s state -v和AWK的一些用法是可行的。
以上命令还包括会话年龄。
你必须定期轮询,并使用cronjob或类似的和做一些脚本魔术来聚合IP地址,但它会工作。
抢