Hallo!
Die Accounting Informationen des Routers reichen mir leider aus gegebenen Anlass nicht mehr aus. Gibt es eine Möglichkeit die Internetanfragen der einzelnen Rechner zu protokollieren, d.h. mit der angefragten IP-Adresse (oder besser noch der DNS Name der Website)? Ich hatte mich schon mal ein bißchen umgeschaut und bin auf Syslog und Kiwi Syslog gestoßen, kenne mich aber leider überhaupt nicht damit aus...Gibt es also
1. überhaupt die Möglichkeit und
2. gibt es im Internet irgendwo eine Anleitung wie man es machen kann?
Für Hilfe wäre ich sehr dankbar,
Gruß
blackeagle2002de
Internetanfragen protokollieren
Moderator: Lancom-Systems Moderatoren
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Hi blackeagle2002de
mit dem LANCOM hattest du maximal die Möglichkeit, dir über die Firewall für jede Verbindung eine SYSLOG Meldung schicken zu lassen - darin siehst du dann aber nur die IP-Adressen, die DNS-Auflösun mußt du später manuell machen... Hierfür erstellst du folgende Regel:
Dieser Regel verpaßt du die höchste Priorität (damit sie als erstes ausgewertet wird) und setzt das Häkchen bei "Weitere Regeln beachten" (damit eine etwaige Deny-All Regel noch greifen kann).
Nun startest du den Syslog-Client (z.b. Kiwi) und trägst ihn im LANCOM unter Meldungen -> SYSLOG -> SYSLOG-Clients ein. Als Quelle nimmst du dann "Router" und als Priorität "Information".
Nun sollte jede Session, die gestartet wird, einen Eintrag im Syslog erzeugen. Nur leider weist du dadurch immer noch nicht, wieviel dabei übertragen wurde....
Das kannst du letztendlich nur mit einem Zwangsproxy erschlagen...
Gruß
Backslash
mit dem LANCOM hattest du maximal die Möglichkeit, dir über die Firewall für jede Verbindung eine SYSLOG Meldung schicken zu lassen - darin siehst du dann aber nur die IP-Adressen, die DNS-Auflösun mußt du später manuell machen... Hierfür erstellst du folgende Regel:
Code: Alles auswählen
Quelle: alle Stationen
Ziel: alle Stationen
Dienste: alle Dienste
Trigger: 0 Pakete pro Verbindung, absolut
Aktion: übertragen, Syslog-Nachricht senden
Nun startest du den Syslog-Client (z.b. Kiwi) und trägst ihn im LANCOM unter Meldungen -> SYSLOG -> SYSLOG-Clients ein. Als Quelle nimmst du dann "Router" und als Priorität "Information".
Nun sollte jede Session, die gestartet wird, einen Eintrag im Syslog erzeugen. Nur leider weist du dadurch immer noch nicht, wieviel dabei übertragen wurde....
Das kannst du letztendlich nur mit einem Zwangsproxy erschlagen...
Gruß
Backslash
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Hallo Backslash
gibt es denn irgendwo eine Anleitung für Kiwi, oder statt dessen ein Programm was relativ leicht zu verstehen ist und meinen Anforderungen gerecht wird. Ich habe mir Kiwi nämlich schon mal kurz angeschaut und es erschien mir etwas undurchsichtig. Deshalb wäre es mir am liebsten ein Programm zu finden, wo ich mich nicht erst ein paar Stunden einarbeiten muss
Gruß
blackeagle2002de
gibt es denn irgendwo eine Anleitung für Kiwi, oder statt dessen ein Programm was relativ leicht zu verstehen ist und meinen Anforderungen gerecht wird. Ich habe mir Kiwi nämlich schon mal kurz angeschaut und es erschien mir etwas undurchsichtig. Deshalb wäre es mir am liebsten ein Programm zu finden, wo ich mich nicht erst ein paar Stunden einarbeiten muss
Gruß
blackeagle2002de
Hi blackeagle2002de,
gerade bei Syslog-Clients wird es kompliziert, da sie erstmal nur einen Text empfangen und diesen dann irgendwie auswerten sollen - und gerade die Auswerung mußt du in obigem Szenario sowieso "von Hand" machen - sprich irgendwie die Texte parsen, die IP-Adressen finden und in Namen ausfllösen und das ganze irgendwie in eine Datenbank o.Ä. ablegen.
Da kannst du dir fast einen eigenen Syslog-Client nur für diese Aufgabe schreiben...
Oder du nimmst ein Linux, da dessen syslogd zumindest schonmal die Quellen und Prioritäten gezielt in eigene Dateien schreiben kann. Die Quellen heissen bei Linux Facilities und das Mapping der LANCOM-Quellen in die Linux-Facilities kannst du unter Meldungen -> SYSLOG -> Facility-Zuordnung einstellen. Nun noch ein "bischen" Perl zum Auswerten der Files und du bist am Ziel...
OK ist fast das selbe als ob man sich einen eigenen Syslog-Client schreibt, aber man hat sich zumindes den Netzwerkkram gespart...
Um ein bischen Einarbeitung wirst du wohl oder Übel nicht herumkommen...
Gruß
Backslash
gerade bei Syslog-Clients wird es kompliziert, da sie erstmal nur einen Text empfangen und diesen dann irgendwie auswerten sollen - und gerade die Auswerung mußt du in obigem Szenario sowieso "von Hand" machen - sprich irgendwie die Texte parsen, die IP-Adressen finden und in Namen ausfllösen und das ganze irgendwie in eine Datenbank o.Ä. ablegen.
Da kannst du dir fast einen eigenen Syslog-Client nur für diese Aufgabe schreiben...
Oder du nimmst ein Linux, da dessen syslogd zumindest schonmal die Quellen und Prioritäten gezielt in eigene Dateien schreiben kann. Die Quellen heissen bei Linux Facilities und das Mapping der LANCOM-Quellen in die Linux-Facilities kannst du unter Meldungen -> SYSLOG -> Facility-Zuordnung einstellen. Nun noch ein "bischen" Perl zum Auswerten der Files und du bist am Ziel...
OK ist fast das selbe als ob man sich einen eigenen Syslog-Client schreibt, aber man hat sich zumindes den Netzwerkkram gespart...
Um ein bischen Einarbeitung wirst du wohl oder Übel nicht herumkommen...
Gruß
Backslash
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Mit entsprechenden Datenschutzkonzepten und klaren Richtlinien. So wild ist das nicht... Um solche Konzepte und Handlungsanweisungen zu entwicklen braucht man etwa 1 Woche zum Aufstellen und 1 weitere Woche zum Feintuning.
Gruß
COMCARGRU
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Wie ist das eigentlich mit der in der Accounting Datei angezeigten Verbindungszeit, ist das die Zeit in der effektiv Daten übertragen wurden? Wenn ich also eine Homepage öffne werden ja nur in den ersten Sekunden Daten übertragen, bis die Seite vollständig aufgebaut ist. Dann lese 10 min auf der Seite und öffne danach eine neue. Werden dann im 11 min zu der Verbindungszeit addiert, oder nur die 20 sek. für den Seitenaufbau? D.h. mit anderen Worten, kann man aus der Verbindungszeit ablesen, wie lang ein Mitarbeiter sich fürs Internet und nicht für die Arbeit interessiert hat?
Gruß
blackeagle2002de
Gruß
blackeagle2002de
Hi blackeagle2002de
Es gibt aber auch genügend Berufe, bei denen das Interresse für das Internet zur Arbeit gehört...
Gruß
Backslash
Es wird nur die Zeit aufsummiert, in der auch Daten übertragen werden (+ Haltezeit des Kanals, bzw. 5 Sekunden bei Keep-Alive). Wenn zwischen dem Ende einer Übertragung und dem Start einer Neuen weniger als die Haltezeit (bzw. 5 Sek bei Keep-Alive) vergangen sind, dann gilt das als eine ununterbrochene Übertragung und wird komplett summiert.Wie ist das eigentlich mit der in der Accounting Datei angezeigten Verbindungszeit, ist das die Zeit in der effektiv Daten übertragen wurden?
Es ist zumindest ein grober Anhalt.D.h. mit anderen Worten, kann man aus der Verbindungszeit ablesen, wie lang ein Mitarbeiter sich fürs Internet und nicht für die Arbeit interessiert hat?
Es gibt aber auch genügend Berufe, bei denen das Interresse für das Internet zur Arbeit gehört...
Gruß
Backslash
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Hallo!
Ich habe jetzt einen Proxy Server eingerichtet und wollte ihn transparent arbeiten lassen wie hier beschrieben: http://www.lancom-forum.de/htopic,517,proxy.html
Leider klappt das irgendwie nicht. Nur wenn ich direkt im Browser die IP-Adresse und den Port eingebe funktioniert es. Als Proxy habe Squid genommen und auf Port 80 umgestellt.
Brauche ich für die transparente Nutzung einen bestimmten proxy, oder woran könnte das sonst liegen?
gruß
blackeagle2002de
Ich habe jetzt einen Proxy Server eingerichtet und wollte ihn transparent arbeiten lassen wie hier beschrieben: http://www.lancom-forum.de/htopic,517,proxy.html
Leider klappt das irgendwie nicht. Nur wenn ich direkt im Browser die IP-Adresse und den Port eingebe funktioniert es. Als Proxy habe Squid genommen und auf Port 80 umgestellt.
Brauche ich für die transparente Nutzung einen bestimmten proxy, oder woran könnte das sonst liegen?
gruß
blackeagle2002de