我担任系统管理员才几个月,因此我还有很多东西需要学习,我想做的第一件事如下:
我们有一个 OpenBSD 4.5 盒子,充当防火墙、dns、缓存等,盒子有 2 个网卡,一个直接连接到互联网,另一个连接到我们的交换机,我曾经使用 sarg 进行日志分析,但后来改为速度更快的 free-sa。
我使用每日免费 SA 报告来检查带宽使用情况,并报告我们的前 5 个带宽消耗者(每周 3 天是第一名,你会购买披萨:D,我们是一家小公司,大约 20 人,所以我们非常熟悉)。这个方法一直运行良好,直到最近,我们中的一个人需要通过 torrent 下载一些东西(~3GB),并且由于披萨规则适用于与工作无关的下载,他告诉我(已验证)他的下载确实与工作有关,所以我会从他的配额中扣除这 3GB,但令我惊讶的是,日志没有显示那 3GB,因为他的 ip 消耗只有 290MB 左右。
最近,自从 FIFA 世界杯开始以来,我们就知道有些员工在观看比赛的直播,我们知道这一点,但我们并不关心,因为就像已经说过的,我们是一家小公司,所以我们没有限制性政策,我们都可以聊天、看 YouTube、下载任何我们想要的东西,但我们每天只能使用 300MB,否则你就会进入前 5 名披萨榜,无论如何,流媒体消耗也不会显示在免费 sa 报告中。
所以我的问题是,为什么这些数据被排除在报告之外?我认为 free-sa 报告只列出了某些类型的东西,但我也在想,squid 是否记录了那些没有记录这些连接的东西。
如能得到任何帮助、指导、建议或澄清,我们将不胜感激。
答案1
我认为 squid 正在记录您的网络连接,以及通过它代理的任何内容(例如网页的端口 80 请求)。Torrent 不会通过那里,因此 squid 服务器看不到它们。
如果您的路由器支持此功能,您最好使用 SNMP 从那里提取带宽使用情况统计信息,以了解整个网络的使用情况,但它不会显示单独的使用情况。
否则,您将必须寻找一种方法来代理 torrent 连接或运行使用 IP 日志记录的防火墙,也许是具有日志记录功能的基于 Linux 或 BSD 的交钥匙防火墙(smoothwall 等)。
答案2
是的,正如其他人所说,torrent下载绕过了squid。
你应该尝试其他方法。生成 netflow 并进行分析(man pflow)是最佳且最通用的解决方案。这需要一些努力。一些工具可用于构建你的解决方案http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html
人们可以选择一条更简单的路径,例如使用ntop来制作报告或安装iptraf。