- Snort и логирование посещенных URL'ов.,
 bass, 12:22 , 15-Июл-03 (1)>Стоит задача писать лог (или прямо в базу) по каким URL'aм, в
>какое время ходил юзер из локальной сетки. В логе должно быть
>3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы
>не дублировались по многу раз при загрузке страници.
>З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо
>реализовать именно при помощи snort.
>
>Заранее благодарен. snort -v и смотреть минут 15.
вы либо поймёте как это сделать, либо увидите матрицу ;) p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас тут целый комплекс аля прокси никто писать не будет, потому что есть уже готовые, но они вам ненужны. тупик.
- Snort и логирование посещенных URL'ов., __Serg__, 12:39 , 15-Июл-03 (2)
>snort -v и смотреть минут 15.
>вы либо поймёте как это сделать, либо увидите матрицу ;) :) да, но содержимое пакетов не отображается ... >p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас
>тут целый комплекс аля прокси никто писать не будет, потому что
>есть уже готовые, но они вам ненужны. тупик. я написал рулес, и оно мне все в один лог загоняет, но информация представляется в таком виде: 07/15-10:47:44.920214 192.168.1.2:2553 -> 194.85.34.226:80
TCP TTL:128 TOS:0x0 ID:5050 IpLen:20 DgmLen:494 DF
***AP*** Seq: 0x3AE0D3F3 Ack: 0x615BB289 Win: 0x4470 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 07/15-10:47:46.171212 192.168.1.2:2552 -> 194.85.34.226:80
TCP TTL:128 TOS:0x0 ID:5059 IpLen:20 DgmLen:495 DF
***AP*** Seq: 0x3AD90922 Ack: 0x77782234 Win: 0x40F5 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ а мне надо видеть урлы ... вот как сделать чтобы оно информацию о урлах в логи записывало?
- Snort и логирование посещенных URL'ов., _Serg_, 18:20 , 15-Июл-03 (3)
Вот малехо разобрался, прописал в конфиг снорта такую строку:
output log_tcpdump: snort.log
а в рулес следующее:
log tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (logto:"web.log"; connect:"Referer\: http\://"; flow:to_server,established;)
теперь пропарсив лог я могу видеть на какие страници ходили, но в таком логе нет времени, и ип юзера, который обращался по даному урлу.
Как можно к алерту напимер, или к логу приаттачить вывод tcpdumpa? или сделать чтобы в выводе tcpdumpa было время и ip юзера?
- Snort и логирование посещенных URL'ов., 77, 15:40 , 10-Фев-04 (4)
есть вариант воспользоваться тем, что уже есть:
www.arsoft.ru предлагает Lingate.
- Snort и логирование посещенных URL'ов., Gerasim, 10:51 , 05-Мрт-04 (5)
>есть вариант воспользоваться тем, что уже есть:
>www.arsoft.ru предлагает Lingate.
это все за деньги!
бесплатного нету
- Snort и логирование посещенных URL'ов., 77, 16:31 , 24-Авг-04 (6)
>это все за деньги! За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться с тонкостями системного программирования. Экономишь уйму времени.
- Snort и логирование посещенных URL'ов., Serg, 10:30 , 06-Сен-04 (7)
>>это все за деньги!
>
>За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться
>с тонкостями системного программирования. Экономишь уйму времени.
Вопрос уже не актуальный ...
Сделал все сам, получилось функционально не хуже Lingate, правда эстетически пока менее красиво ... все пишится в реалтайме (урлы, ип, порты), потом агрегируется ... в общем получился полноценный биллинг для домашней сети, правда не пробовал при больших нагрузках, но 100 клиентов свободно обсчитывает.
- Snort и логирование посещенных URL'ов., lamerusha, 18:33 , 06-Сен-04 (8)
.... вечный вопрос биллинга ;) расскажи про свое решение .. что оно умеет ? под чем бегает ? как считаешь ? если честно, мне оочень интересно - как у тебя сделано - Явно не стандартно - если ты решил юзать снорт ..;)
- Snort и логирование посещенных URL'ов., Serg, 10:06 , 07-Сен-04 (9)
>.... вечный вопрос биллинга ;)
>
> расскажи про свое решение .. что оно умеет ?
>под чем бегает ? как считаешь ?
>
> если честно, мне оочень интересно - как у тебя
>сделано - Явно не стандартно - если ты решил юзать снорт
>..;) :), не, на счет snort'a - это было давно, тогда ситуация не позволяла проксю поставить, а от меня требовали оповещения в реал-тайме когда кто-то на опр. сайт лезет, да и надо было вести полный лог кто куда когда ходил ... Сейчас стоит прозрачный сквид, башем лог парсится, и в БД пишится, пишу для удобства пользователей, чтобы видели куда их траффик девается ... да и потом в конце месяца видно сколько % из кэша взято ...
Все остальное пишится с помощью переделанного uloga ...
Потом вся инфа аггрегируется и занимает очень мало места (хотя многие пугали что винта не хватит :) главное вовремя вирей зарубить, т.к. они ип перебирают и инфа почти не аггрегируется ... Вот для этого snort как раз то что надо :) )
Основная заморочка с хитрыми тарифными планами (например ежедневное списание лимита траффика, независимо от того сидел юзер или нет, изменение цены в зависимости от QoS, времени суток ...) но вроде уже дописал, теперь можно изголятся с любыми тарифами :)
Написал скрипты интеграции биллинга с DNS, DHCP, FTP, MAIL, шейпером и прочим ...
Ну в общем если интересно стучите в icq 155280021
|
Версия для распечатки
Snort и логирование посещенных URL'ов., 
