Die Auswertung der Squidlogdateien auf möglicherweise nicht erwünschte Seitenzugriffe gestaltet sich relativ schwierig, da hier je nach Größe des Netzwerks schnell 50-100MB an Logdateien pro Woche entstehen. Solche Mengen lassen sich sicherlich nur schwer und auch dann nicht regelmäßig von Hand analysieren.

Automatische Aufbereitung mit sarg:

"Sarg" wird von Debian bereitgestellt und lässt sich mit "aptitude install sarg" auf den Server aufspielen.

Anpassen der Konfigurationsdateien:

  * /etc/squid/sarg.conf nach Geschmack anpassen. Wichtig sind lediglich
    - access_log /pfad/zum/access.log  (Pfad zum access.log File siehe weiter unten)
    - output_dir /var/www/output/dir   (Ort an dem die Dateien per Webinterface abgerufen werden können, sollte vor unerlaubtem Zugriff geschützt sein)
    - parsed_output_log /var/www/spielwiese/ipcop/parsed/ (optional aber empfehlenswert)\\ parsed_output_log_compress nocompress  (In Verbindung mit optionalem output_log empfehlenswert, da es ansonsten zu Fehlern kommen kann)
  * /etc/squid/sarg.hosts Erlaubt es einzelne Rechner (IP-Adressen) von der Untersuchung auszunehmen. Mit 10.16.1.0 werden alle Adressen 10.16.1.xxx nicht ausgewertet.
  * /etc/squid/sarg.users Die hier angegebenen User werden nicht mit ausgewertet, macht nur Sinn, wenn der IPCOP den Nutzer auch mit erfasst.

Automatisierung der Auswertung:

Die Auswertung lässt sich mit Hilfe eines [[version3:cronjobs]] relativ leicht automatisieren, dazu kann einmal täglich das folgende Skript aufgerufen werden.

  #/bin/su
  /usr/bin/scp -P 222 <adresse ipcop>:/var/log/squid/access.log /pfad/zum/access.log
  /usr/bin/sarg

Voraussetzung ist die Installation eines [[server-zertifikat_zum_ipcop_uebertragen|ssh keys für root auf IPCOP]]. Optimaler Zeitpunkt für die Ausführung des Skripts ist etwa 5-10 min vor dem Logrotate der access.log Dateien auf dem IPCOP.