Quem está usando o squid ?

whinston · 10-08-2005, 10:32

Ae moçada, sei que tudo que passa pelo squid fica gravado nos logs.
Posso monitorar isto "online" dando um tail -f no access.log
Mas acontece o seguinte: se alguém puxa um arquivo de 100Mb, causando lentidão, este acesso gera um único log no access.log, no momento da conexão.
Tem alguma forma de ver quem está fazendo uso do proxy num determinado momento ?

felco · 10-08-2005, 10:36

# netstat -n | grep 3128 | grep ESTABLISHED

seria isso?

enochian · 10-08-2005, 11:01

sniffa a porta que o proxy escuta... e analiza o trafego...
use o tcpdump por exemplo
;)
espero ter ajudado...

whinston · 10-08-2005, 11:03

tcp 0 0 192.168.0.1:8080 192.168.0.12:2166 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.7:2685 ESTABLISHED
tcp 0 39 192.168.0.1:8080 192.168.0.7:2686 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.12:2168 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.98:1790 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.27:1939 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1197 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1196 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1195 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1194 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1193 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.19:1471 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.19:1472 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.5:1741 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1266 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1267 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1264 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1265 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.18:1263 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.18:1264 ESTABLISHED

isto ae cara !
aproveitando pra ir + na veia.. tem algum controle do squid pra ver qualé o site que o cidadão tá naquele instante?

pq, voltando ao meu problema original, se o cara tiver baixando um arquivo muito grande, que está demorando e chupando a banda toda, vai ser complicado achar.

Herlon · 10-08-2005, 11:05

Para isto utilizo o iptrafem consonancia com o tcpdump

whinston · 10-08-2005, 11:13

Postado originalmente por enochian

sniffa a porta que o proxy escuta... e analiza o trafego...
use o tcpdump por exemplo

espero ter ajudado...

vixe cara, nao to acostumado a usar isto.. li o man mas to meio confuso de como proceder.. pode me dar + 1 help ?

whinston · 10-08-2005, 11:14

Postado originalmente por Herlon

Para isto utilizo o iptrafem consonancia com o tcpdump

que sintaxe vc ta usando amigo ?

ocire · 10-08-2005, 11:18

tenho uma sugestão tem um programa chamado squidview vc ve realtime a pagina q os usuarios estão acessando ... :good:

felco · 10-08-2005, 11:29

Postado originalmente por ocire

tenho uma sugestão tem um programa chamado squidview vc ve realtime a pagina q os usuarios estão acessando ... :good:

Otima dica! Valeu!! :clap:

whinston · 10-08-2005, 11:35

Postado originalmente por ocire

tenho uma sugestão tem um programa chamado squidview vc ve realtime a pagina q os usuarios estão acessando ... :good:

Tá parecendo um tail, não ?
http://www.linuxrapido.org/modules.p...rticle&sid=189

Vou baixar, instalar e testar a posto novidades. Obrigado a todos, abs.

**xstefanox** · 10-08-2005, 11:53

Postado originalmente por whinston

tcp 0 0 192.168.0.1:8080 192.168.0.12:2166 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.7:2685 ESTABLISHED
tcp 0 39 192.168.0.1:8080 192.168.0.7:2686 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.12:2168 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.98:1790 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.27:1939 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1197 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1196 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1195 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1194 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.17:1193 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.19:1471 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.19:1472 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.5:1741 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1266 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1267 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1264 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.48:1265 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.18:1263 ESTABLISHED
tcp 0 0 192.168.0.1:8080 192.168.0.18:1264 ESTABLISHED

isto ae cara !
aproveitando pra ir + na veia.. tem algum controle do squid pra ver qualé o site que o cidadão tá naquele instante?

pq, voltando ao meu problema original, se o cara tiver baixando um arquivo muito grande, que está demorando e chupando a banda toda, vai ser complicado achar.

Código :

# tail -f /var/log/squid/access.log |grep <usuario>

O último da lista é o site em que ele se encontra, se ele mudar para outro site, vai mostrar no log.

whinston · 10-08-2005, 11:59

e ae stefano, blz?
tu que eh nosso mestre mor em squid, me da 1 dica.

deixa eu explicr de outra forma o problema.
digamos que o usuario joao entrou na web passando pelo proxy e comecou a baixar um filme de 700mb numa extensao que o squid nao bloqueava

isto ficou no access.log no inicio da manha.
depois disto, chegaram uns 50 usuarios da empresa e comecaram a usar o squid. nisto, o access.log foi crescendo, crescendo, crescendo.

uma coisa que tá me f.. legal é o MSN, que insiste em gerar 1 linha por segundo de log (pra cada máquina), o que joga uma sujeira tamanha no access.log

pensei em fz o seguinte: ver as conexões ainda ativas e usar isto como base de filtro no access.log - agora como fz isto, que eu to perdido. alguma idéia ?

**xstefanox** · 10-08-2005, 12:49

Hummmm... isso é uma pergunta que já me fizeram e eu não soube responder... mas um dos motivos pelos quais o MSN gera uma linha por segundo é que ele faz várias requisições.

Por outro lado, se você adicionar a palavra "gateway.dll" na ACL "no_cache", pode ser que ele pare de jogar isso no access.log.

Como eu nunca fiz isso, não sei se funciona, mas se você puder testar e falar aqui pra gente o que resultou, ficaríamos gratos!

Um abraço!

whinston · 10-08-2005, 13:08

Postado originalmente por xstefanox

Hummmm... isso é uma pergunta que já me fizeram e eu não soube responder... mas um dos motivos pelos quais o MSN gera uma linha por segundo é que ele faz várias requisições.

Por outro lado, se você adicionar a palavra "gateway.dll" na ACL "no_cache", pode ser que ele pare de jogar isso no access.log.

Como eu nunca fiz isso, não sei se funciona, mas se você puder testar e falar aqui pra gente o que resultou, ficaríamos gratos!

Um abraço!

to tentando mas não ta funcionando não
qual a sintaxe correta, tu sabe ?

**roggy** · 10-08-2005, 14:18

Postado originalmente por whinston

Postado originalmente por xstefanox

Hummmm... isso é uma pergunta que já me fizeram e eu não soube responder... mas um dos motivos pelos quais o MSN gera uma linha por segundo é que ele faz várias requisições.

Por outro lado, se você adicionar a palavra "gateway.dll" na ACL "no_cache", pode ser que ele pare de jogar isso no access.log.

Como eu nunca fiz isso, não sei se funciona, mas se você puder testar e falar aqui pra gente o que resultou, ficaríamos gratos!

Um abraço!

to tentando mas não ta funcionando não
qual a sintaxe correta, tu sabe ?

Não uso o gateway.dll no no_cache mas sim na lista de sites bloqueados. Se vc usar nessa e bloquear a porta 1863 num acessa msn nem com reza.

**warlinux** · 14-08-2005, 13:26

Cara,

Você tentou ver o SARG nesse site tem um tutorial legal
http://www.devin.com.br/eitch/sarg/

Aí você pode deixar ele rodando diariamente, para gerar um log de todos os dias.

E para atender a sua necessidade você pode mandar rodar na hora que quiser em um determinado tempo o relatório dos logs, aí você saberá que ocupou a banda toda.

Segue outro tutorial
http://www.linuxit.com.br/section-viewarticle-629.html

Blz

Quem está usando o squid ?

Ferramentas de Tópicos