Log de Navegação dos Clientes

Galera como faço para saber o que os meus Clientes estão navegando?
Uso Servidor MK 3.30.

Obrigado aos mais experientes!

instala o MK AUTH para autenticação que ele te fala a data o horário o dia e todas as conexões e todos os sites que o cliente conectar!

existe maneira pelo winbox marlon?

Se quer log somente da navegação, use o Proxylizer:
Proxylizer - MikroTik Wiki

Se quer logar todo tipo de acesso, use o Calea:
CALEA - MikroTik Wiki

Pois é, mas esse procedimento requer o uso do Web-proxy do MK Server e esse Web-proxy conflitou com minhas regras de Controle de Conexões.
Alguém já passou por isso?

será que teria outra maneira de obter esses logs?

companhando

eplo winbox não tem como!

o log do mk e muito curto. como obter um maior?

tbm preciso de obter essa informação! sei que não é da minha conta! mais pra que quer o log dos clientes ?!

o log q falo e aquele q mostra erros do sistema,acesso via web,ssh e as tentativas de invasão pq ele apaga muito rapido e é curto...mais vlw aiii

a sim entendii!! rsrsrsrsrsrsrsrs! meu amigo é se vc esta sempre acessando seu servidor basta clicar na Opção LOG e pronto! ai vc olha se estiver algo de errado você olha na hora! entendi ?? seria bem mais prático!

Abraço amigãO!

vlw cara...

Citação:

---

Postado originalmente por Nando

o log q falo e aquele q mostra erros do sistema,acesso via web,ssh e as tentativas de invasão pq ele apaga muito rapido e é curto...mais vlw aiii

---

Este log pode ser salvo em arquivo dentro do proprio MK ou em um servidor de log remoto.

Leia isto:
http://www.mikrotik.com/testdocs/ros...em/logging.php

Citação:

---

Postado originalmente por agrinfo

Pois é, mas esse procedimento requer o uso do Web-proxy do MK Server e esse Web-proxy conflitou com minhas regras de Controle de Conexões.
Alguém já passou por isso?

---

Explique melhor

Citação:

---

Postado originalmente por netosdr

Explique melhor

---

Se eu ativo o WEB-PROXY (ou seja, a origem para se conseguir os LOG´s de ACCOUNT onde fica registrado o que os Clientes estão acessando/navegando) a minha regra de FIREWALL para LIMITE DE CONEXÕES SIMULTÂNEAS não funciona.

Esse meu LIMITE está setado para 30 conexões e passa muito disso no TORCH se o WEB-PROXY está ativado.

Você já passou por isso?

Citação:

---

Postado originalmente por agrinfo

Se eu ativo o WEB-PROXY (ou seja, a origem para se conseguir os LOG´s de ACCOUNT onde fica registrado o que os Clientes estão acessando/navegando) a minha regra de FIREWALL para LIMITE DE CONEXÕES SIMULTÂNEAS não funciona.

Esse meu LIMITE está setado para 30 conexões e passa muito disso no TORCH se o WEB-PROXY está ativado.

Você já passou por isso?

---

O motivo é que as conexões HTTP, quando vc ativa o proxy no mesmo servidor, passam a ser de SAIDA (output) e a regra controla somente FORWARD.

Outra coisa, não é aconselhado aplicar o limite de conexões a navegação HTTP (TCP 80) e HTTPS (TCP 443) pois pode comprometer a qualidade da navegação.

Citação:

---

Postado originalmente por netosdr

O motivo é que as conexões HTTP, quando vc ativa o proxy no mesmo servidor, passam a ser de SAIDA (output) e a regra controla somente FORWARD.

Outra coisa, não é aconselhado aplicar o limite de conexões a navegação HTTP (TCP 80) e HTTPS (TCP 443) pois pode comprometer a qualidade da navegação.

---

Tens razão! Vou liberar essas portas e também a 110, 25, 1863.

Então você aconselha o proxy em separado?

Citação:

---

Postado originalmente por agrinfo

Tens razão! Vou liberar essas portas e também a 110, 25, 1863.

Então você aconselha o proxy em separado?

---

É aconselhado manter SMTP (TCP 25) e POP3 (TCP 110) DENTRO do controle de conexões, pois tem muitos tipos de virus que utilizam estas portas.

Quanto ao proxy em separado vai depender da sua necessidade, mas não é necessário, é só na regra de limitação de conexões vc especificar as portas 53, 80 e 443 como excessão a regra.

se tiver algum espertinho na rede dele e fiz alguma coisa em um servidor e ter problemas com a justiça, como vai saber quem é da sua rede?

Citação:

---

Postado originalmente por marlon

tbm preciso de obter essa informação! sei que não é da minha conta! mais pra que quer o log dos clientes ?!

---

existe uma maneira de fazer usando o the dude. O mk gera um log e manda para um servidor onde esta instalado o the dude. as regras são:

Código :

---

/ip firewall filter
add action=log chain=forward comment="LOG DA MOÇADA" disabled=no dst-port=21,22,23,25,80,110,139,143,443,445 log-prefix=192.168.2.x protocol=tcp src-address=192.168.2.0/24
add action=log chain=forward comment="" disabled=no dst-port=21,22,23,25,80,110,139,143,443,445 log-prefix=192.168.3.x protocol=tcp src-address=192.168.3.0/24
add action=log chain=forward comment="" disabled=no dst-port=21,22,23,25,80,110,139,143,443,445 log-prefix=192.168.5.x protocol=tcp src-address=192.168.5.0/24
add action=log chain=forward comment="" disabled=no dst-port=21,22,23,25,80,110,139,143,443,445 log-prefix=172.169.0.x protocol=tcp src-address=172.169.1.0/24

---

o codigo acima pede para o mk gerar log das portas principais de navegação e marcar um prefixo.

depois em

Código :

---

/system logging action
set remote bsd-syslog=no name=remote remote=172.16.10.2:514 src-address=0.0.0.0 syslog-facility=daemon syslog-severity=info target=remote

---

o ip 172.16.10.2:514 é o servidor onde rodo o thedude como syslog configurado para receber os logs na porta 514

Código :

---

/system logging
add action=remote disabled=no prefix=172.169.1.x topics=!debug,!web-proxy,!system
add action=remote disabled=no prefix=192.168.2.x topics=!debug,!web-proxy,!system
add action=remote disabled=no prefix=192.168.6.x topics=!debug,!web-proxy,!system
add action=remote disabled=no prefix=192.168.3.x topics=!debug,!web-proxy,!system

---

obs. O ideal seria ele fazer o log de todas as portas porque se alguem acessar um servidor com a porta 33333 ele naõ vai gravar o log, porem quando eu deixo todas as portas meu log fica de 40GB por dia, por isto restringi somente as portas de navegação mais utilizadas.

o arquivo de log ficaria mais ou menos assim:

Código :

---

2010.04.27-06:13:57 <172.16.10.1>: firewall,info 172.169.10.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK,PSH), 192.168.2.247:1181->209.85.195.104:443, len 107
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 192.168.33.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK,PSH), 192.168.2.247:1181->209.85.195.104:443, len 107
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 192.168.65.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK,PSH), 192.168.2.247:1181->209.85.195.104:443, len 107
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 192.168.32.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK,PSH), 192.168.2.247:1181->209.85.195.104:443, len 107
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 172.169.10.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK), 192.168.2.247:1181->209.85.195.104:443, len 32
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 192.168.33.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK), 192.168.2.247:1181->209.85.195.104:443, len 32
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 192.168.65.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK), 192.168.2.247:1181->209.85.195.104:443, len 32
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 192.168.32.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK), 192.168.2.247:1181->209.85.195.104:443, len 32
2010.04.27-06:13:57 <172.16.10.1>: firewall,info 172.169.10.x: 192.168.32.x forward: in:LAN out:WAN GLOBAL, src-mac 00:0a:52:7b:3d:7d, proto TCP (ACK), 192.168.2.247:1181->209.85.195.104:443, len 20

---

Citação:

---

Postado originalmente por netosdr

O motivo é que as conexões HTTP, quando vc ativa o proxy no mesmo servidor, passam a ser de SAIDA (output) e a regra controla somente FORWARD.

Outra coisa, não é aconselhado aplicar o limite de conexões a navegação HTTP (TCP 80) e HTTPS (TCP 443) pois pode comprometer a qualidade da navegação.

---

Blz netosdr!
Apenas confirmando, eu excluindo essas portas que você sugeriu você acredita que o controle de conexões irá voltar a marcar pacotes?

Galera, após a confirmação do neto eu vou postar aqui minhas regras de LOG DE NAVEGAÇÃO DOS CLIENTES. Essa regra informa os host´s dos Sites acessados pelos Clientes e como fazer para analisar ela em qualquer PC com qualquer analisador de LOG.

Abraço à todos.

ficarei aguardando as suas regras...

até mais...

Citação:

---

Postado originalmente por agrinfo

Blz netosdr!
Apenas confirmando, eu excluindo essas portas que você sugeriu você acredita que o controle de conexões irá voltar a marcar pacotes?

---

Confirme a regra se está usando FORWARD na mesma. Se sim, o controle de conexões será somente para os pacotes que PASSAREM pelo firewall, ou seja, se o proxy estiver ativo as conexões controladas pelo proxy não estarão sendo marcadas para controle.

Se vc desativar o proxy, todo o tráfego passara pelo controle de conexões (depende da regra).

Posta a regra que vc está usando...

Citação:

---

Postado originalmente por netosdr

Confirme a regra se está usando FORWARD na mesma. Se sim, o controle de conexões será somente para os pacotes que PASSAREM pelo firewall, ou seja, se o proxy estiver ativo as conexões controladas pelo proxy não estarão sendo marcadas para controle.

Se vc desativar o proxy, todo o tráfego passara pelo controle de conexões (depende da regra).

Posta a regra que vc está usando...

---

Segue as minhas regras de CONTROLE DE CONEXÕES

Código PHP:

---

    add action=drop chain=forward comment="" connection-limit=30,30 disabled=no \
      protocol=tcp src-address=192.168.1.100 tcp-flags=syn 


---

Era isso?

Citação:

---

Postado originalmente por agrinfo

Segue as minhas regras de CONTROLE DE CONEXÕES

Código PHP:

---

    add action=drop chain=forward comment="" connection-limit=30,30 disabled=no \
      protocol=tcp src-address=192.168.1.100 tcp-flags=syn 


---

Era isso?

---

Este controle de conexões simultaneas, vc quer aplicar a toda sua rede ou somente a 1 maquina? (pela regra que postou está atualmente somente para maquina 192.168.1.100)

Se quiser para rede toda faça assim:
connection-limit=30,32
src-address=192.168.1.0/24

Citação:

---

Postado originalmente por netosdr

Este controle de conexões simultaneas, vc quer aplicar a toda sua rede ou somente a 1 maquina? (pela regra que postou está atualmente somente para maquina 192.168.1.100)

Se quiser para rede toda faça assim:
connection-limit=30,32
src-address=192.168.1.0/24

---

Neto, na primeira vez que usei o controle de conexões me pareceu que usando nesta sua configuração o controle não ficava 100%, mas eu usava a versão 3.23. Hoje eu uso a versão 3.30 (mais estável) e continuei usando o modo de configurar IP por IP. Será que nesta versão 3.30 é certo que o controle fica bom?

Citação:

---

Postado originalmente por agrinfo

Neto, na primeira vez que usei o controle de conexões me pareceu que usando nesta sua configuração o controle não ficava 100%, mas eu usava a versão 3.23. Hoje eu uso a versão 3.30 (mais estável) e continuei usando o modo de configurar IP por IP. Será que nesta versão 3.30 é certo que o controle fica bom?

---

Usei 3.30 muito tempo, aparentemente o controle funcionava 100% sim.

Citação:

---

Postado originalmente por netosdr

Usei 3.30 muito tempo, aparentemente o controle funcionava 100% sim.

---

Blz Neto!

E quanto a chain FORWARD da regra? Altero ela para OUTPUT?

Citação:

---

Postado originalmente por agrinfo

Blz Neto!

E quanto a chain FORWARD da regra? Altero ela para OUTPUT?

---

Somente se quiser controlar as conexões HTTP tb, se sim, deverá deixar ambas as regras forward e output. (não recomendo)

Se vc usar a regra ouput deverá usar dst-address ao inves de src-address.

Citação:

---

Postado originalmente por netosdr

Somente se quiser controlar as conexões HTTP tb, se sim, deverá deixar ambas as regras forward e output. (não recomendo)

Se vc usar a regra ouput deverá usar dst-address ao inves de src-address.

---

Blz Neto!
Vou realizar essas modificações e verificar se funcionam 100% em meu sistema.

Quanto às regras vou postar no próximo bloco.

Agradeço desde já.

Alexandre

Abaixo segue como realizo gero os LOG´s de NAVEGAÇÃO DOS CLIENTES:

1) Habilitar o WEB PROXY do MK (no meu caso no PRÓPRIO SERVIDOR). Como realizar esse procedimento não vou relatar aqui pois há vários tópicos que ensinam isso.

2) Habilitar o LOG do MK (System/Logging) criando uma nova RULE com a opção WEB PROXY e ACCOUNT e indicando como action REMOTE.

3) Na guia ACTIONS (ainda no Logging) alterar a opção REMOTE para:
a) type: DISK
b) filename: WEBLOG
c) lines per file: 1000 (mais que isso seu sistema vai travar, acredite!!!)
d) file count: 2000

4) Criar um usuário de acesso ao Sistema somente para FTP na Guia System/Users (também há tópicos ensinando isso)

5) Diariamente acessar a pasta FILES do MK pelo FTP para baixar para seu PC (qualquer um onde você deseja armazenar os arquivos .TXT onde estarão os host´s de navegação dos Clientes)

6) Para visualizar os logs aconselho o uso do software KIWI LOG VIEWER (gratuito no Baixaki).

7) agradecer em meu POST! https://under-linux.org/images/icons/icon7.pnghttps://under-linux.org/images/icons/icon10.pnghttps://under-linux.org/images/icons/icon11.pnghttps://under-linux.org/images/icons/icon14.gif haahhaahhahhhaha

Desculpem ressuscitar o tópico, mas achei melhor isso do que criar um novo sobre o mesmo assunto.

Uso o hotspot da versao 3.30 em um hotel, funciona perfeitamente.
Habilitei o web-proxy somente para gerar log das paginas acessadas, ele joga tudo no syslog daemon, porém aparece apenas o ip do hotspot e não o ip dos clientes.

O que estou fazendo de errado?

o web proxy ta assim:
[admin@MikroTik] /ip proxy> print
enabled: yes
src-address: 0.0.0.0
port: 3128
parent-proxy: 0.0.0.0
parent-proxy-port: 0
cache-administrator: "Mensagem do erro 404!!"
max-cache-size: none
cache-on-disk: no
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: yes
always-from-cache: no
cache-hit-dscp: 4
cache-drive: primary-slave


e a regra no firewall ta assim:
[admin@MikroTik] /ip firewall nat> print
24 ;;; REGRA PARA PASSAR TUDO PELO WEB PROXY
chain=dstnat action=redirect to-ports=3128 protocol=tcp in-interface=LOCAL dst-port=80

minha rede é ospf tenho 3 concentradores tem como eu mandar de todos para um servidor windows ? já uso o kiwi mais só conseguir fazer funcionar o que o pc esta ligado.