Monitorowanie ruchu w sieci
Moderatorzy: Moderatorzy, Administratorzy
Monitorowanie ruchu w sieci
Siema!
Mam router na slacku.
=> eth0 in
=> eth1 out
Ustawiony forwarding i tym podobne sprawy, adresy przydzielone na sztywno.
Chcialbym miec w logach zapis adresow do ktorych odwoluja sie komputery w sieci. Pamietam kiedys kiedys jak zalgadalem do logow mandrivy to ona domylnie miala taki log ruchu stworzony. To znaczy jaki adres na jaka strone wchodzil. Czy mozna cos takiego zrobic pod slackiem i jak ?
Thx for help
Mam router na slacku.
=> eth0 in
=> eth1 out
Ustawiony forwarding i tym podobne sprawy, adresy przydzielone na sztywno.
Chcialbym miec w logach zapis adresow do ktorych odwoluja sie komputery w sieci. Pamietam kiedys kiedys jak zalgadalem do logow mandrivy to ona domylnie miala taki log ruchu stworzony. To znaczy jaki adres na jaka strone wchodzil. Czy mozna cos takiego zrobic pod slackiem i jak ?
Thx for help
Re: Monitorowanie ruchu w sieci
Ale chodzi Ci o logi dostępu do serwisów na tym serwerze, czy też ruchu hostów lan na adresy globalne??
Podejrzewam, że to co widziałeś w mandrive to to pierwsze. A i w Slacku masz takie logowanie, osobno loguje to apache, osobno proftpd...
Jeśli chodzi Ci jednak o to drugie wyjście... to pozostaje Ci np. zlogowanie wyjścia z tcpdumpa, ale uwaga... bo będą to takie wielkości że musisz przewidzieć odpowiednio pojemną partycję, a najlepiej szybko dzielić i kompresować logi.
Podejrzewam, że to co widziałeś w mandrive to to pierwsze. A i w Slacku masz takie logowanie, osobno loguje to apache, osobno proftpd...
Jeśli chodzi Ci jednak o to drugie wyjście... to pozostaje Ci np. zlogowanie wyjścia z tcpdumpa, ale uwaga... bo będą to takie wielkości że musisz przewidzieć odpowiednio pojemną partycję, a najlepiej szybko dzielić i kompresować logi.
Re: Monitorowanie ruchu w sieci
Dragon, zapewne chodzi ci o squid + sarg. Dzięki temu zapisywane są wszystkie adresy z internetu do których odwołują się Twoi klienci
Re: Monitorowanie ruchu w sieci
Chodzi mi o ruch z sieci lokalnej na internet. Dokładnie chce zapisywac liste adresow ktore sa wywolywane z sieci lokalnej. Pomyslalem o iptables opcja log dla Forward i napisac programik ktory wyluszczy z zapisanych adresow ip ich hosty i usunie duplikaty. Ale napewno da sie to zrobic prosciej.
Czy nie da sie tego jakos wykombinowac best stawiania serwera proxy ?
Czy nie da sie tego jakos wykombinowac best stawiania serwera proxy ?
Re: Monitorowanie ruchu w sieci
To co podałem wyżej robi dokładnie to wszystko o czym piszesz. Bez proxy chyba się nie da bo żeby zczytać ruch to musisz go przepuścić przez jakiś 'czytnik' którym jest właśnie squid. Konfiguracja nie jest trudna więc nie ma się czego bać, jakby co to się odezwij.
Re: Monitorowanie ruchu w sieci
No to przecież napisałem tcpdump, prościej się chyba nie da!! ale kto by tam mnie słuchał??
i np. w cronie co 12/24 godziny zmiana pliku z logiem. A jak chcesz bardziej szczegółowy log, to tcpdump -v; tcpdump -vv... -vvv
Kod: Zaznacz cały
tcpdump >> log.txt
Re: Monitorowanie ruchu w sieci
Pajaczek, można to zmodyfikować i wycinać tylko dane dotyczące IP i strony na którą wchodzi Mój sposób jest bardziej przejżysty bo w sposób tabelkowo/okienkkowy dostępny przez serwer www
Wygląda to mniej więcej tak:
Wygląda to mniej więcej tak:
Re: Monitorowanie ruchu w sieci
nie wydaje Ci sie lekką przesadą ?:)Pajaczek pisze:Kod: Zaznacz cały
tcpdump >> log.txt
W przeciwieństwie do squid + sarg ta metoda loguje wszystko ale to wszystko aż do przesady. Lepiej chyba iptables + state NEW oraz flaga fin w przypadku tcp.
Re: Monitorowanie ruchu w sieci
No wiecie... wszystko jest jakimś kompromisem pomiędzy prostotą, funkcjonalnością, wymogami i dostępnymi środkami.
A czy przesada... no co Ty. Przesadą było by tcpdump -vvv
A czy przesada... no co Ty. Przesadą było by tcpdump -vvv
Re: Monitorowanie ruchu w sieci
Pomysł ze squidem jest wdeche. Tylko mam problemy z konfiguracja. Wygrzebałem jak zrobic zeby byl transparentny ale nie umiem go dobrze skonfigurowac.
Re: Monitorowanie ruchu w sieci
moze czas zatrudnic administratora? btw. na trzepak.pl bylo tego od zaje**nia, dżast serczDragon pisze:Wygrzebałem jak zrobic zeby byl transparentny ale nie umiem go dobrze skonfigurowac.
Ostatnio zmieniony 2009-02-16, 19:23 przez Spaulding, łącznie zmieniany 1 raz.
Powered By:
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)
Re: Monitorowanie ruchu w sieci
To zdanie również często na trzepaku się pojawiap1r4te pisze:moze czas zatrudnic administratora?
Re: Monitorowanie ruchu w sieci
memus, widocznie cos z tego prawdy jest ale niektore pytania na trzepaku mnie rozbrajaja...
Powered By:
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)
funtoo, openbox, mc, ekg2, git, ssh...
(very unstable packages but stable system :>)
Re: Monitorowanie ruchu w sieci
witam,
zamiast tego tcpdumpa, polecam inny sniffer - tcpflow, będziesz miał wygodniejszy wgląd do wszystkiego co przepływa na poziomie warstwy aplikacji i nie musisz się ograniczać jak w przypadku squida tylko do ruchu www (a co ze sniffowaniem maili i haseł?:P)
pozdrawiam
zamiast tego tcpdumpa, polecam inny sniffer - tcpflow, będziesz miał wygodniejszy wgląd do wszystkiego co przepływa na poziomie warstwy aplikacji i nie musisz się ograniczać jak w przypadku squida tylko do ruchu www (a co ze sniffowaniem maili i haseł?:P)
pozdrawiam
Re: Monitorowanie ruchu w sieci
Ja polecam squida. Jeżeli masz większą sieć i sporo ramu na maszynie to squid przy okazji pomoże w przyśpieszeniu www. O ile się nie mylę to cachemgr.cgi udostępnia podobną statystykę do tej co pokazał Outlaw.
misczu, Staraj się wypowiadać ostrożnie o potencjalnie szkodliwych możliwościach programów !
misczu, Staraj się wypowiadać ostrożnie o potencjalnie szkodliwych możliwościach programów !