- Snort и логирование посещенных URL'ов., bass, 12:22 , 15-Июл-03 (1)
>Стоит задача писать лог (или прямо в базу) по каким URL'aм, в >какое время ходил юзер из локальной сетки. В логе должно быть >3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы >не дублировались по многу раз при загрузке страници. >З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо >реализовать именно при помощи snort. > >Заранее благодарен. snort -v и смотреть минут 15. вы либо поймёте как это сделать, либо увидите матрицу ;) p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас тут целый комплекс аля прокси никто писать не будет, потому что есть уже готовые, но они вам ненужны. тупик.
- Snort и логирование посещенных URL'ов., __Serg__, 12:39 , 15-Июл-03 (2)
>snort -v и смотреть минут 15. >вы либо поймёте как это сделать, либо увидите матрицу ;) :) да, но содержимое пакетов не отображается ... >p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас >тут целый комплекс аля прокси никто писать не будет, потому что >есть уже готовые, но они вам ненужны. тупик. я написал рулес, и оно мне все в один лог загоняет, но информация представляется в таком виде: 07/15-10:47:44.920214 192.168.1.2:2553 -> 194.85.34.226:80 TCP TTL:128 TOS:0x0 ID:5050 IpLen:20 DgmLen:494 DF ***AP*** Seq: 0x3AE0D3F3 Ack: 0x615BB289 Win: 0x4470 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 07/15-10:47:46.171212 192.168.1.2:2552 -> 194.85.34.226:80 TCP TTL:128 TOS:0x0 ID:5059 IpLen:20 DgmLen:495 DF ***AP*** Seq: 0x3AD90922 Ack: 0x77782234 Win: 0x40F5 TcpLen: 20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ а мне надо видеть урлы ... вот как сделать чтобы оно информацию о урлах в логи записывало?
- Snort и логирование посещенных URL'ов., _Serg_, 18:20 , 15-Июл-03 (3)
Вот малехо разобрался, прописал в конфиг снорта такую строку: output log_tcpdump: snort.log а в рулес следующее: log tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (logto:"web.log"; connect:"Referer\: http\://"; flow:to_server,established;) теперь пропарсив лог я могу видеть на какие страници ходили, но в таком логе нет времени, и ип юзера, который обращался по даному урлу. Как можно к алерту напимер, или к логу приаттачить вывод tcpdumpa? или сделать чтобы в выводе tcpdumpa было время и ip юзера?
- Snort и логирование посещенных URL'ов., 77, 15:40 , 10-Фев-04 (4)
есть вариант воспользоваться тем, что уже есть: www.arsoft.ru предлагает Lingate.
- Snort и логирование посещенных URL'ов., Gerasim, 10:51 , 05-Мрт-04 (5)
>есть вариант воспользоваться тем, что уже есть: >www.arsoft.ru предлагает Lingate. это все за деньги! бесплатного нету
- Snort и логирование посещенных URL'ов., 77, 16:31 , 24-Авг-04 (6)
>это все за деньги! За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться с тонкостями системного программирования. Экономишь уйму времени.
- Snort и логирование посещенных URL'ов., Serg, 10:30 , 06-Сен-04 (7)
>>это все за деньги! > >За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться >с тонкостями системного программирования. Экономишь уйму времени. Вопрос уже не актуальный ... Сделал все сам, получилось функционально не хуже Lingate, правда эстетически пока менее красиво ... все пишится в реалтайме (урлы, ип, порты), потом агрегируется ... в общем получился полноценный биллинг для домашней сети, правда не пробовал при больших нагрузках, но 100 клиентов свободно обсчитывает.
- Snort и логирование посещенных URL'ов., lamerusha, 18:33 , 06-Сен-04 (8)
.... вечный вопрос биллинга ;) расскажи про свое решение .. что оно умеет ? под чем бегает ? как считаешь ? если честно, мне оочень интересно - как у тебя сделано - Явно не стандартно - если ты решил юзать снорт ..;)
- Snort и логирование посещенных URL'ов., Serg, 10:06 , 07-Сен-04 (9)
>.... вечный вопрос биллинга ;) > > расскажи про свое решение .. что оно умеет ? >под чем бегает ? как считаешь ? > > если честно, мне оочень интересно - как у тебя >сделано - Явно не стандартно - если ты решил юзать снорт >..;) :), не, на счет snort'a - это было давно, тогда ситуация не позволяла проксю поставить, а от меня требовали оповещения в реал-тайме когда кто-то на опр. сайт лезет, да и надо было вести полный лог кто куда когда ходил ... Сейчас стоит прозрачный сквид, башем лог парсится, и в БД пишится, пишу для удобства пользователей, чтобы видели куда их траффик девается ... да и потом в конце месяца видно сколько % из кэша взято ... Все остальное пишится с помощью переделанного uloga ... Потом вся инфа аггрегируется и занимает очень мало места (хотя многие пугали что винта не хватит :) главное вовремя вирей зарубить, т.к. они ип перебирают и инфа почти не аггрегируется ... Вот для этого snort как раз то что надо :) ) Основная заморочка с хитрыми тарифными планами (например ежедневное списание лимита траффика, независимо от того сидел юзер или нет, изменение цены в зависимости от QoS, времени суток ...) но вроде уже дописал, теперь можно изголятся с любыми тарифами :) Написал скрипты интеграции биллинга с DNS, DHCP, FTP, MAIL, шейпером и прочим ... Ну в общем если интересно стучите в icq 155280021
|