Die Auswertung der Squidlogdateien auf möglicherweise nicht erwünschte Seitenzugriffe gestaltet sich relativ schwierig, da hier je nach Größe des Netzwerks schnell 50-100MB an Logdateien pro Woche entstehen. Solche Mengen lassen sich sicherlich nur schwer und auch dann nicht regelmäßig von Hand analysieren.

Automatische Aufbereitung mit sarg:

„Sarg“ wird von Debian bereitgestellt und lässt sich mit „aptitude install sarg“ auf den Server aufspielen.

Anpassen der Konfigurationsdateien:

• /etc/squid/sarg.conf nach Geschmack anpassen. Wichtig sind lediglich
  1. access_log /pfad/zum/access.log (Pfad zum access.log File siehe weiter unten)
  2. output_dir /var/www/output/dir (Ort an dem die Dateien per Webinterface abgerufen werden können, sollte vor unerlaubtem Zugriff geschützt sein)
  3. parsed_output_log /var/www/spielwiese/ipcop/parsed/ (optional aber empfehlenswert)
     parsed_output_log_compress nocompress (In Verbindung mit optionalem output_log empfehlenswert, da es ansonsten zu Fehlern kommen kann)
• /etc/squid/sarg.hosts Erlaubt es einzelne Rechner (IP-Adressen) von der Untersuchung auszunehmen. Mit 10.16.1.0 werden alle Adressen 10.16.1.xxx nicht ausgewertet.
• /etc/squid/sarg.users Die hier angegebenen User werden nicht mit ausgewertet, macht nur Sinn, wenn der IPCOP den Nutzer auch mit erfasst.

Automatisierung der Auswertung:

Die Auswertung lässt sich mit Hilfe eines cronjobs relativ leicht automatisieren, dazu kann einmal täglich das folgende Skript aufgerufen werden.

#/bin/su
/usr/bin/scp -P 222 <adresse ipcop>:/var/log/squid/access.log /pfad/zum/access.log
/usr/bin/sarg

Voraussetzung ist die Installation eines ssh keys für root auf IPCOP. Optimaler Zeitpunkt für die Ausführung des Skripts ist etwa 5-10 min vor dem Logrotate der access.log Dateien auf dem IPCOP.