Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam,
Potrzebujemy w firmie,transparentnej analizy ruchu ,które byłoby pomiędzy routerem a siecią lan:
|router| -> debian -> sieć lan
Pomyślałem o jakimś transparentnym proxy ,które analizowało by ruch sieciowy z sieci lan do wan, i zapisywało do logów które można by było przeglądać w wygodnym przeglądarkowym GUI (wykresy z danych dat,dni itp.)
Głównie zależy nam na tym,by można było po numerze IP dojśc kto np. dnia dzisiejszego jakie strony odwiedział,albo statystyka,jakie jest generowane obciążenie sieci w stronę wanu, kto pobral najwięcej danych,kto wysłał najwięcej itp.
W związku z tym mam dwa pytania:
Jak skonfigurować taki serwerek? 2 karty sieciowe to na pewno. Dałoby to się załatwić squidem?
I jak uzyskac tak rozbudowane statystyki? Którym web GUI,jeżeli wybór padłby na squida?
Z góry dziękuje za pomoc,oraz pozdrawiam.
Offline
NTOP? Darkstat? logowanie zapytań DNS?
Squid?
Do wyboru, do koloru...
Offline
Popieram przedmówców, Darkstat robi fajne wykresy, a własny serwer DNS forwardujący zapytania skrobie logi zapytań.
Od siebie dorzucę jeszcze nfdump- czymś takim ISP zbierają logi połączeń po które czasem puka pan bagieta :]
Skoro chcesz też wiedzieć kto, ile, dokąd etc, to jeszcze mrtg.
Offline
Hardware:
- jedna karta sieciowa
Sieć:
- port mirror na switchu
Software:
- ntop (można pominąć jeśli dobrze skonfiguruje sie monitoring na switchu lub routerze)
- ELK, analiza i prezentacji, czyli:
- elasticsearch
- logstash
- kibana
Offline
Byłbym wdzięczny,gdybyś @qluk opisał jak skonfigurować kartę sieciową (nadać IP i to wszystko?) oraz jak zainstalować ELK i skonfigurowac by ladnie wszystko wyswietlał?Lub ntop'a (wystarczy instalacja paczki?) Z góry dziekuje za pomoc ;)
Ostatnio edytowany przez korni007 (2016-07-04 16:45:27)
Offline
Zainstalowałem ntopng,komp nasluchuje danego portu na switchu,wszystko fajnie ale...adresy IP widnieją x2 (w vlan0 i vlan1) do tego jest straszny chaos,pełno danych,mało konkretnych rzeczy (np, kto kiedy wszedł na jaką stronę),jest szansa żeby było to bardziej intuicyjne?
Offline
Jak masz skonfigurowany switch i siec ?
Offline
siec - fortinet,stale ip, od niego idzie kabelek do switcha hp procurve 2810 do portu 46,mirror portu zrobiony na port 40,gdize podlaczona jest jedna z kart sieciowych debianka,ktora nasluchuje ;) oba maja ten sam vlan.
Mysle ze by sie skusic na squida + sarga,moglbys pomoc?
Offline
Na proxy inaczej się to robi bo musisz puscic "poprzez" (czyli niestety dwie karty sieciowe, bo na jednej da się ale to rzeźba straszna). To FortiGate nie ma możliwości logowania takich zdarzeń? Dawno nie pracowałem z ich sprzętem, ale z tym co miałem do czynienia to była taka opcja.
Dziwne z tym vlanem, puszczasz tagowane na fortigate czy nietagowany port? Ja mirroruje port który jest nietagowany na stałe przypisany pod vlan.
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00125 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.117.166.52' WHERE u.id=1 |
0.00086 | UPDATE punbb_online SET logged=1732370726 WHERE ident='18.117.166.52' |
0.00046 | SELECT * FROM punbb_online WHERE logged<1732370426 |
0.00065 | DELETE FROM punbb_online WHERE ident='18.188.68.115' |
0.00075 | SELECT topic_id FROM punbb_posts WHERE id=302803 |
0.00004 | SELECT id FROM punbb_posts WHERE topic_id=28736 ORDER BY posted |
0.00080 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=28736 AND t.moved_to IS NULL |
0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
0.00171 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=28736 ORDER BY p.id LIMIT 0,25 |
0.00071 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=28736 |
Total query time: 0.00745 s |