В офисе мы хотели бы каждый месяц получать какой-то обзор веб-сайтов, которые посещают пользователи в нашей сети. Существуют ли какие-либо инструменты, работающие в Linux, которые могут создавать такой отчет, анализируя трафик и генерируя статистику URL-адресов?
Вероятно, есть несколько способов сделать это. Один из наиболее распространенных способов сделать это - использовать Кальмар как прозрачный прокси а потом следить за журналами кальмара. Shorewall может помочь сделать это проще установить.
Вы можете найти этот пост на мониторинг офисного трафика полезен также.
Обнюхивая трафик ????
В принципе, PasTmon может что-то сделать, но гораздо лучшим решением было бы принудительно пропустить весь трафик через прокси, например varnish или squid, и проанализировать журналы.
У активных и пассивных подходов к мониторингу есть свои плюсы и минусы.
Как предлагали другие, использование прозрачного прокси-сервера является одним из вариантов «активного мониторинга». Он не только позволяет вам отслеживать, но и размещать элементы управления после обнаружения ошибочного использования.
С другой стороны, есть некоторые минусы, если вас просто интересует мониторинг,
Если вы уже можете перехватить нужный трафик, например, через брандмауэр в глобальную сеть, у вас есть несколько пассивных вариантов.
Одним из новых пассивных вариантов является решение на базе Linux под названием Trisul Network Metering и Forensics. Он работает на 64-битной системе Ubuntu 10.04 или Centos 5.x. Он будет прослушивать перехваченный трафик (или Netflow, что в данном случае, конечно, не имеет значения) и создавать все виды отчетов о трафике. Если у вас есть необходимые документы на месте в вашей стране его также можно использовать для записи всей активности, вплоть до уровня потока и пакета, и использовать эту информацию для расследования нарушений безопасности.
Для HTTP вы можете:
Я думаю, что ntop также может сделать большую часть вышеперечисленного, если вы можете правильно настроить его с помощью RRD или плагина MySQL.
Trisul абсолютно бесплатен, если вы отслеживаете трехдневное скользящее окно. В вашем случае вы можете создавать и отправлять по электронной почте ежедневные отчеты в формате PDF, а затем агрегировать их ежемесячно, так что это вам ничего не будет стоить.
Загружается, если вы используете в качестве прокси-сервера.
Если вы используете домашний маршрутизатор BoradBand, большинство из них также имеют функции регистрации.
Существуют также потенциальные юридические проблемы с "шпионажем" или "рыбалкой" таким образом.
МК
ntop может это сделать, но если у вас еще нет прокси-сервера Squid, вам следует его настроить - это значительно упростит подобные вещи и даст вам возможность фильтровать, что разрешено, а что нет, или дросселировать трафик.
Как уже говорили другие, лучше всего использовать правильный прокси-сервер и обрабатывать журналы. Но для дешевого и удобного исправления и при условии, что вы настроили инфраструктуру коммутатора для прослушивания трафика, я обнаружил, что
ngrep -tiw -d eth0 GET port 80
довольно эффективно фильтрует запрошенные URL; отправить его в файл, а затем использовать awk или perl для его постобработки и извлечь только чистый URL-адрес, было бы легко.
Как говорили другие, вы должны быть очень уверены в том, что у вас есть согласие владельца сети, и, по крайней мере, проинформировали всех пользователей об этой практике, прежде чем вы это сделаете.