Die Auswertung der Squidlogdateien auf möglicherweise nicht erwünschte Seitenzugriffe gestaltet sich relativ schwierig, da hier je nach Größe des Netzwerks schnell 50-100MB an Logdateien pro Woche entstehen. Solche Mengen lassen sich sicherlich nur schwer und auch dann nicht regelmäßig von Hand analysieren.
Automatische Aufbereitung mit sarg:
„Sarg“ wird von Debian bereitgestellt und lässt sich mit „aptitude install sarg“ auf den Server aufspielen.
Anpassen der Konfigurationsdateien:
- /etc/squid/sarg.conf nach Geschmack anpassen. Wichtig sind lediglich
- access_log /pfad/zum/access.log (Pfad zum access.log File siehe weiter unten)
- output_dir /var/www/output/dir (Ort an dem die Dateien per Webinterface abgerufen werden können, sollte vor unerlaubtem Zugriff geschützt sein)
- parsed_output_log /var/www/spielwiese/ipcop/parsed/ (optional aber empfehlenswert)
parsed_output_log_compress nocompress (In Verbindung mit optionalem output_log empfehlenswert, da es ansonsten zu Fehlern kommen kann)
- /etc/squid/sarg.hosts Erlaubt es einzelne Rechner (IP-Adressen) von der Untersuchung auszunehmen. Mit 10.16.1.0 werden alle Adressen 10.16.1.xxx nicht ausgewertet.
- /etc/squid/sarg.users Die hier angegebenen User werden nicht mit ausgewertet, macht nur Sinn, wenn der IPCOP den Nutzer auch mit erfasst.
Automatisierung der Auswertung:
Die Auswertung lässt sich mit Hilfe eines cronjobs relativ leicht automatisieren, dazu kann einmal täglich das folgende Skript aufgerufen werden.
#/bin/su /usr/bin/scp -P 222 <adresse ipcop>:/var/log/squid/access.log /pfad/zum/access.log /usr/bin/sarg
Voraussetzung ist die Installation eines ssh keys für root auf IPCOP. Optimaler Zeitpunkt für die Ausführung des Skripts ist etwa 5-10 min vor dem Logrotate der access.log Dateien auf dem IPCOP.
Seiten-Werkzeuge
