» Анализаторы логов для SQUID (под *nix)

Есть лог такого вида -
1034456544.292 295 21.31.125.0 TCP_CLIENT_REFRESH_MISS/200 535 GET http://www......

Вопрос в том что это значит и как расшифровать время и объем отсюда...

---

Код: http://www.squid-cache.org/Scripts/ - коллекция скриптов для анализа логов squid
http://squid.org.ua/Scripts/ - тот же документ на русском
http://www.opennet.ru/prog/mid/26.shtml#100 - коллекция анализаторов логов squid

Точно не скажу, но есть программка sarg, которая все это делает: http://web.onda.com.br/orso/sarg.html

Просто - у меня есть данные о трафике в определенный момент - мне надо узнать что конкретно кто и что качал через прозрачный прокси.

UncoNNecteD
Та же беда... SARG -- это да, но иногда надо что-то особенное. Я ничего не нашел. Вот уже несколько дней как собираюсь сам что-нть написать. C трогать не буду сейчас, а вот Kylix для этого -- самое ага.

sarg -convert >/file
мне помог
Только вот видно из-за прозрачного проксирования в ip везде стоит адрес типа 21.31.125.0 - то есть как адрес подсети... а вот как вытащить реальный ip'шник качающего я не знаю

UncoNNecteD
твоя строчка

1034456544.292 295 21.31.125.0 TCP_CLIENT_REFRESH_MISS/200 535 GET http://www......
расшифровывается так:

когда_был_запрос сколько_длился_запрос удаленный_хост код_запроса/статут_запроса размер_запроса метод_HTTP URL_запроса

А поля эти значат такие вещи:

1. Время, когда был обслужен запрос. Это стандартное Epoch time. Чтобы перевести в понятные циферки, делай что-нибудь такое (это на Перле):
$time=1034456544.292;
($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst)=localtime($time);

2. Время обслуживания запроса - т.е. сколько милисекунд твой Squid получал страничку и отдавал ее клиенту

3. IP удаленного хоста, откуда читался запрос

4. Код выполнения запроса. По нему можно увидеть, был ли запрошенный объект уже в кеше, или его пришлось получать заново. Или он был, но его пришлось обновить.
В твоем случае, объекта в кеше был, но когда Squid спроил по URL'у, менялся ли запрашиваемый объект, ему ответили, что менялся, и прислали новую версию.

5. Статус выполнения запроса. число 200 это успешное завершение, 403 это редирект, 500 это ошибка сервера. Кодов куча, в сети можно найти описание. Но 200 в твоем случае означает, что все прошло нормально.

6. Количество байт в транзакции, сколько занимал скачанный и переданный клиенту запрос.

7. Метод HTTP запроса для скачивания объекта. Это GET, POST, HEAD.

8. Собственно URL того что запрашивал клиент

На самом деле, там дальше еще несколько полей могут быть, если кэш обращался к своим соседям (peer'ам), но раз ты не написал их тут, то и я объяснять их пока не буду.

Вот такие вот объяснения, надеюсь, понятно объяснил.


А еще, господа, гляньте на следующие ссылки:

www.sawmill.net - это вообще какой-то супер-навороченный анализатор всяческих логов, с графиками и хранением всех результатов анализа в базе данных. Среди всего прочего, может и squid анализировать. Можно скачать и посмотреть, что за софт. На сайте есть картинки, примеры, и т.д.

А вот тут есть тонна сылок на различные скрипты-анализаторы squid'овских логов, уж что-нибудь полезное точно найдется:

http://www.squid-cache.org/Scripts

Ну, всем удачи,
greys

greys
Спасибо за то что все разжевал, но эти проблемы я уже порешал при помощи sarg. У меня проблемма только с удаленным хостом - всегда пишет хх.хх.хх.0
Как узнать реальный ip того кто качал конкретный ресурс?

UncoNNecteD
В squid.conf есть параметр client_netmask, так вот похоже он у тебя стоит 255.255.255.0, если так поставь 255.255.255.255. Должно сработать.

korvin
Верно подмечено... жаль раньше я этого не знал... и даже не замечал... теперь фиг восстановишь то что было
Спасибо - исправил на 255 Нефиг маскироваться!

Я использую sarg.
Как его нужно запустить, с каким ключом или какие настройки нужно сделать в конфиге, чтобы он в Topuser Report суммировал по каждому ip, а то он сейчас выдает по каждоиу подключению.

Возникла проблема - отключать юзерей при превышении лимита. В данный момент тоже юзаю sarg для отчетов, и в нем натолкнулся на тег per_user_limit. Никаких внятных описаний я не нашел. Что это такое и как это можно использовать?

per_user_limit file mb
сохраняет юзеров переваливших порог в указанный файл
а отключать их можно в самом сквайде брать имена из этого файла
например
acl kachki acltype "file"
где acltype тип который используется для авторизации пользователей
а file файл созданный sarg
и далее http_access deny kachki
и заставлять squid перечитывать содержимое файла переодически

У меня логи сквида каждый день ротейтятся. А через 20 мин запускает сарг и парсит их. Но проблема в том, что нельяз посмотреть статистику за период (например, за месяц). Оригинальные логи сквида ессно через 10 дней перезаписались, и осталась только статистика, сгенеренная саргом. Как можно воссоздать статистику за интервал? Пока на ум пришел только самый плохой вариант - писать скрипт, чтоб он из логов выдирал числа и создавал новую статистику. Кто что может посоветовать?

Всем привет!!
Подскажите можно ли при помощи Squid-а запретить доступ определенному пользователю при условии если он исчерпал свой лимит использования Internet (например 20Mb), если можно то как.

Зараннее благодарен.

Domed

При чем тут анализаторы логов то:
Вот твоя тема:

SQUID: ограничить трафик для отдельного юзера

И вообще:
http://forum.ru-board.com/forums.cgi?action=filter&forum=8&filterby=topictitle&word=Squid

Есть сеть с виндовыми рабочими местами и RedHat-прокся со squid.
Подскажите плиз, какие скрипты подходят для того, чтобы каждый юзер мог лично
смотреть свою статистику (daily, monthly и т.д и т.п) через браузер.
Для админских целей-то всё что я видел подходит, тут вариантов выбора больше.
Раньше прокся была под виндой с вингейтом, под него я своё ПО писал, теперь пока нет времени под линухами особо ковыряться.
Что больше подходит?

Всем спасибо
Всё сам написал на перле, который видел последний раз два года назад.

Сейчас вот увидел, что горячо любимый мною SARG уже не поддерживается (23-04-2003 о многом говорит). К тому же начал в даун выпадать иногда. Естественно поднялся вопрос - какая может быть замена? кто что юзает? вебалайзер не подходит.
Основные требования - список пользователей (идеально, если можно в группы объединить ака подразделения, чтобы самому потом с калькулятором не сидеть), кто куда во сколько ходил и сколько налазил с сортировкой по различным категориям (объем, число хитов, время и т.п.).

EndoR

Два момента:
1. Версия: Last change: Apr/25/2003 sarg-1.4.1.tar.gz
2. Ссылка в шапке не верная. Правильно так: http://sarg.sourceforge.net/sarg.php

SARG ChangeLog
Apr/25/2003: - fixed: - link error to denied site in squidGuard report
- resolve name error in squidGuard report
- some fixes to HPUX. Thanks to Miles Roper <mroper@westcoastdhb.org.nz>
- index_sort_order tag don't work correctly.
- too many open files fixed. Thanks to Francesco Perrillo <fperillo@totalfax.it>
- Ukrainian_windows1251 included in sarg.conf file
- exclude_string don't work correctly.

Плюс к этому (цитирую):
Patches:
How to apply: save the patch in sarg-1.4.1 directory, patch -p0 < _patch_name, make install
sarg-1.4.1-index.sort.patch - index sort fixed.
http://sarg.sourceforge.net/sarg-1.4.1-index.sort.patch.gz


Цитата:

К тому же начал в даун выпадать иногда. Естественно поднялся вопрос - какая может быть замена?

По пунктам: последняя версия - абсолютно стабильная. Поэтому следующая и не вышла. Глюков не отмечено. Если Вы качали не с оф. сайта и собирали ее не с теми библиотеками (кстати, а ваша система и gcc - ?), то неизвестно, что вообще у вас стоит.

Юзаю уже давно, работает изумительно, все по-русски (для начальства), никаких проблем не замечал.

maxiva
на офф сайте впащет ссылка стоит на сорсфордж.

Цитата:

то неизвестно, что вообще у вас стоит

и версия сарга у меня тоже с оффсайта. и системы разные - redhat 9.0 и freebsd 5.2.1.

Цитата:

Глюков не отмечено

Цитата:

Юзаю уже давно, работает изумительно, все по-русски (для начальства), никаких проблем не замечал

и у меня работает уже больше 2,5 лет, и бывают глюки. иначе не писал бы я сюда.

Анализаторов логов много. Я попробовал несколько. Но пока не нашел то, что мне нужно.
А нужно мне вот что:
- хочу посмотреть что качал/смотрел пользователь (идентификация по логину или по IP-адресу) в определенный момент времени.
Все что мне попадалось в основном показывают усредненную или суммарную статистику. Ну или граничные ситуации типа максимальный размер скаченного файла.
Что мне поможет?

Помогите пожалуйста ссылками на документацию по sarg и squidGuard, или намыльте, если у кого имеется, спасибо

и подскажите что значит команда sarg -d dd/mm/yy и команда squid -k reconfigure ?

BeerLion
у меня такая же проблемма, может для её решения твой скрипт бы помог?
mrtg не хочет рисвовать по пользователям через snmp.
Не мог ли бы ты поделиться таким полезным скриптом?

Maxxximator

Цитата:

squid -k reconfigure

Посылает сигнал HUP, после которого Squid перечитывает файл конфигурации.

Maxxximator

Цитата:

что значит команда sarg -d dd/mm/yy

Генерирует отчет на указанную дату

Подскажите, как интерпретировать такую строку:

1214092930.247 9 192.168.127.79 TCP_DENIED/400 1457 GET error:invalid-request - NONE/- text/html

Вот эти 1457 байт, они пошли в зачет трафика у провайдера, или нет?

поковырялся с сквидом. сарг не понравился. вываливается. очень щепетильно надо к конфигу подходить. в дефолте живет нормально, поконфигурил -- 2 дня пожил, потом в корку регулярно... в треэсере пишет, что проблему у него появились с glibc. обновляться не хотелось. попробовал free-sa. рисует покрасивше, работает уже неделю, глюков нет (во всяком случае пока). очень похож на сарг.
Система: ALTLinux Server 4.0 (обновлен при установке до текущего среза сизифа). ядро 2.6.24 (сборка сизифа), сквид из дистра 2.6.чего-то-там.

А никто шапку не поправит , SAMS переехал на http://sams.perm.ru/ ,
SAcc -- http://sacc.cybersec.ru/

topotuno
Подправил.

господа а имеется в принципе фриварная прога какая для анализа сквидовских логов под вынь ???

1. wrspy http://www.wrspy.ru/
2. MS SQL скрипты (Анализатор лога SQUID Proxy c возможностью блокировкиРаботающие скрипты для MS SQL) http://genrep.net/files.htm - sql_log.zip