Portál AbcLinuxu, 22. května 2025 15:38

Dotaz: logování přístupu uživatelů z vnitřní sítě na web

12.11.2007 22:12 Hugo
logování přístupu uživatelů z vnitřní sítě na web
Přečteno: 1963×
Odpovědět | Admin
Ahoj,

hledám nástroj, který by mi umožnil monitoring přístupů uživatelů na webové servery - porty 80 i 443. Většina vnitřních IP se překládá na jednu veřejnou. Jde mi o to, abych mohl zpětně dohledávat, kdo kdy a kam "šel". Ideálně, aby každá vnitřní IP měla svůj samostatný log, který by zaznamenával všechny přístupy v podobě jakou má log apache - tedy čas a link.

Děkuji za případné rady
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

12.11.2007 22:15 cronin | skóre: 49
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zakázať firewallom priamy prístup na porty 80 a 443 smerom von a všetok trafic pustiť cez proxy server.
the.max avatar 13.11.2007 03:58 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web
resim to stejne.. jen jsem nastavil Squida jako transparentni proxy, tazke na routeru vsechny pozadavky na 80 presmerovavam na 8080.
KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
13.11.2007 06:55 petr
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web
Odpovědět | | Sbalit | Link | Blokovat | Admin
No stačí když budou všichni přistupovat přes Squida, no a pak stačí koukat do /var/log/squid/access.log. A je tam jak IP ze kterého se přistupovalo (tedy stanice uvnitř Vaší sítě), tak adersa na kterou se lezlo.. viz výpis níže. Případně to můžeš grepovat. TCP_MISS/200 8619 GET http://ad2.bbmedia.cz/logos/b47620_4.swf? - DIRECT/62.168.44.120 application/x-shockwave-flash 1194932947.788 185 192.168.0.65 TCP_MISS/200 12279 GET http://www.abclinuxu.cz/forum/EditDiscussion/199909? - DIRECT/195.70.150.7 text/html 1194932947.982 1 192.168.0.65 TCP_IMS_HIT/304 263 GET http://spir.hit.gemius.pl/gemiusaudience.html - NONE/- text/html 1194932948.043 57 192.168.0.65 TCP_MISS/200 1837 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 text/html 1194932948.112 53 192.168.0.65 TCP_MISS/200 355 GET http://spir.hit.gemius.pl/_1194932951837/reppdot.js? - DIRECT/195.47.116.3 application/x-javascript 1194932948.176 47 192.168.0.65 TCP_MISS/200 1118 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 application/x-javascript 1194932948.236 45 192.168.0.65 TCP_MISS/200 383 GET http://gdecz.hit.gemius.pl/_1194932951962/redot.gif? - DIRECT/217.11.237.209 image/gif 1194932948.300 87 192.168.0.65 TCP_MISS/200 1734 GET http://adarbo2.bbmedia.cz/please/showit/0/0/0/1/? - DIRECT/62.168.11.130 application/x-javascript 1194932948.520 129 192.168.0.65 TCP_MISS/200 4228 GET http://sfad1.impact.as/338_20.gif - DIRECT/62.209.193.162 image/gif 1194932948.762 3 192.168.0.65 TCP_DENIED/403 1269 NONE error:request-too-large - NONE/- text/html
13.11.2007 07:19 cronin | skóre: 49
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web
No stačí když budou všichni přistupovat přes Squida, no a pak stačí koukat do /var/log/squid/access.log. A je tam jak IP ze kterého se přistupovalo (tedy stanice uvnitř Vaší sítě), tak adersa na kterou se lezlo.. viz výpis níže. Případně to můžeš grepovat. 
                                                                                           
TCP_MISS/200 8619 GET http://ad2.bbmedia.cz/logos/b47620_4.swf? - DIRECT/62.168.44.120 application/x-shockwave-flash
1194932947.788    185 192.168.0.65 TCP_MISS/200 12279 GET http://www.abclinuxu.cz/forum/EditDiscussion/199909? - DIRECT/195.70.150.7 text/html
1194932947.982      1 192.168.0.65 TCP_IMS_HIT/304 263 GET http://spir.hit.gemius.pl/gemiusaudience.html - NONE/- text/html
1194932948.043     57 192.168.0.65 TCP_MISS/200 1837 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 text/html
1194932948.112     53 192.168.0.65 TCP_MISS/200 355 GET http://spir.hit.gemius.pl/_1194932951837/reppdot.js? - DIRECT/195.47.116.3 application/x-javascript
1194932948.176     47 192.168.0.65 TCP_MISS/200 1118 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 application/x-javascript
1194932948.236     45 192.168.0.65 TCP_MISS/200 383 GET http://gdecz.hit.gemius.pl/_1194932951962/redot.gif? - DIRECT/217.11.237.209 image/gif
1194932948.300     87 192.168.0.65 TCP_MISS/200 1734 GET http://adarbo2.bbmedia.cz/please/showit/0/0/0/1/? - DIRECT/62.168.11.130 application/x-javascript
1194932948.520    129 192.168.0.65 TCP_MISS/200 4228 GET http://sfad1.impact.as/338_20.gif - DIRECT/62.209.193.162 image/gif
1194932948.762      3 192.168.0.65 TCP_DENIED/403 1269 NONE error:request-too-large - NONE/- text/html
:-)
13.11.2007 09:53 Hugo
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web
Díky všem za rady!
13.11.2007 11:07 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tady je ta transparentni proxy cache
#vnejsi eth rozhrani (WAN)
INET_IFACE="eth0"
#IP vnejsiho rozhrani
INET_IP="x.x.x.x"

#cesta k iptables
IPTABLES="/sbin/iptables"

$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 443 -j REDIRECT --to-port 3128
cd /pub | more beer

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.