在办公室,我们希望每个月对我们networking中用户访问的网站进行一些概述。 是否有任何现有的工具在Linux上运行,可以通过嗅探stream量并生成URL统计信息来生成这样的报告?
有可能有很多方法来做到这一点。 这样做的最常见的方法之一是使用Squid作为透明代理 ,然后监控鱿鱼日志 。 岸壁可以帮助更容易设置。
您可能会发现这篇文章对监控办公室stream量也很有帮助 。
通过嗅探交通?
原则上,PasTmon可以做到这一点 – 但更好的解决scheme是强制通过像清漆或鱿鱼代理和分析日志的所有stream量。
主动和被动监测方法都有优点和缺点。
正如其他人所build议的,使用透明代理是“主动监控”选项之一。 一旦发现错误的使用情况,它不仅允许您监视,而且还可以放置控件。
另一方面,如果您只是对监控感兴趣,
如果您已经能够嗅探到正确的stream量,例如防火墙周围的广域网,则可以使用多种被动选项。
一种新的被动选项是基于Linux的解决scheme,称为Trisulnetworking计量和取证 。 它运行在Ubuntu 10.04或Centos 5.x 64位盒子上。 它会监听嗅探到的stream量(或Netflow,在这种情况下当然是不相关的),并产生各种stream量报告。 如果您在您所在的国家/地区拥有必要的文书工作 ,则还可以将所有活动logging到stream和数据包级别,并使用该信息来调查安全漏洞。
对于HTTP,您可以:
如果你可以使用RRD或MySQL插件正确configuration,我认为ntop也可以完成上面的大部分工作。
如果你正在监视一个3天的滚动窗口,Trisul是完全免费的。 在你的情况下,你可以生成并发送每日PDF报告,然后每月汇总,所以它不会花费任何东西。
如果您用作代理服务器,请加载。
如果您使用的是国内风格的BoradBand路由器,其中大部分还具有日志loggingfunction。
以这种方式“窥探”或者进行“钓鱼之旅”也有潜在的法律问题。
MK
ntop可以做到这一点,但如果你还没有一个鱿鱼代理,你应该得到一个设置 – 这将使这种事情更容易,让你能够过滤什么是允许的,什么不是,或节stream交通。
正如其他人所说,使用适当的代理并从中处理日志是最好的。 但是为了一个便宜而快乐的修复,并假设你已经设置了交换机基础设施来嗅探stream量,我发现
ngrep -tiw -d eth0 GET port 80 过滤掉相当有效的请求的URL; 发送到一个文件,然后使用awk或perl后处理它,只提取纯粹的URL,将是容易的。
正如其他人所说的那样,你应该确信你已经得到了networking所有者的同意,并且在你做之前至less告知所有用户这种做法。