在办公室,我们希望每月对我们的网络中用户访问的网站进行某种概述。是否有任何现有的在 Linux 上运行的工具可以通过嗅探流量并生成 URL 统计信息来生成此类报告?
答案1
可能有很多方法可以做到这一点。最常见的方法之一是使用乌贼作为一个透明代理进而监控 squid 日志。Shorewall 可以帮助简化建立。
您可以在监控办公室流量很有帮助也一样。
答案2
通过嗅探流量???
原则上,PasTmon 可以做到这一点 - 但更好的解决方案是强制所有流量通过像 varnish 或 squid 这样的代理并分析日志。
答案3
主动和被动监控方法各有优缺点。
正如其他人所建议的,使用透明代理是“主动监控”选项之一。它不仅允许您监控,而且一旦发现错误使用,还可以进行控制。
另一方面,如果你只是对监控感兴趣,那么也有一些缺点,
- 在代理盒和桌面上都需要进行一些设置和管理
- 在每个连接中引入一个新实体(考虑故障点)
- 不能用于计算非 HTTP 流量
- 不是一个被动的解决方案
如果您已经能够嗅探正确的流量,例如绕过防火墙到达 WAN,那么您有几种被动选项。
一个新的被动选项是基于Linux的解决方案,称为Trisul 网络计量和取证。它运行在 Ubuntu 10.04 或 Centos 5.x 64 位机器上。它将监听嗅探到的流量(或 Netflow,当然在这种情况下不相关)并生成各种流量报告。如果您有已准备好必要的文件在您的国家/地区,它还可用于记录流量和数据包级别的所有活动,并使用这些信息调查安全漏洞。
对于 HTTP,您可以:
- 保存所有请求的 URL
- 监控顶级 HTTP 主机(从主机标头而不是 DNS)。这允许您跟踪 myblog.wordpress.com 等网站,而不仅仅是 s2.wordpress.com。
- 主要 HTTP 内容类型
- 热门 URL 类别(新闻/广播/色情/等)
- 其他常见内容,如顶级内部 IP、顶级外部 IP、应用程序、子网等
我认为如果您可以使用 RRD 或 MySQL 插件正确配置 ntop,它也可以完成上述大部分操作。
如果您要监控 3 天的滚动窗口,Trisul 是完全免费的。对于您来说,您可以生成并通过电子邮件发送每日 PDF 报告,然后按月汇总这些报告,因此您无需支付任何费用。
答案4
ntop 可以做到这一点,但如果您还没有 squid 代理,您应该设置一个 - 它会让这类事情变得容易得多,并让您能够过滤允许的内容和不允许的内容,或者限制流量。