我的公司在多个地点提供公共无线网络。访问由运行 pf 和 Squid 的 OpenBSD 盒以透明代理模式控制。使用 SARG 之类的工具,我可以轻松生成 HTML 报告,其中显示 IP 地址和传输的数据量。但是,利用这些数据需要人工查看生成的日志并查看是否存在问题。
我想知道是否有任何工具可以用来在单个用户超过特定数据传输阈值时向我们发送警报?可以像 SARG 一样分析日志,但如果检测到任何“问题”,则只需发送电子邮件,而不是生成报告。
编辑 1-由于 squid 设置为透明代理,因此没有“用户”本身。相反,它记录 IP,我可以使用 DHCP 日志将其与 MAC 地址匹配。我只是在寻找一种可以在给定 IP 在给定时间段内传输超过 x 量数据时向我发送电子邮件的东西。
答案1
定期使用pfctl -s state -v和一些使用 AWK 是有效的。
上述命令还包括会话年龄。
您必须相当定期地进行轮询并使用 cronjob 或类似程序并执行一些脚本魔法来聚合 IP 地址,但它会起作用。
抢