Relatorio sarg nao mostra qual usuario acessou site bloqueado [RESOLVIDO]

joaorafael
(usa Ubuntu)

Enviado em 21/10/2010 - 14:33h

Bom dia Galera,sou novo no Viva Linux, dei uma caçada no site e nao encontrei nada falando sobre isso, espero que esteja seguindo as regras do forum.

Minha duvida é a seguinte, montei um servidor de internet com squid + sarg de um tutorial daqui do viva linux, está funcionando tudo ok. O unico problema é que ao invés de ficar na parte do usuario os acessos negados, o sarg ta criando quando a acesso negado um usuario com o ip da maquina e colocando la todos as tentativas, e ao entrar na parte que mostra todo conteudo bloqueado ele mostra somente qual ip que tentou acessar o site, gostaria de saber como faço pra mostrar o usuario que tentou acessar o conteudo, desde já agradeço.

uso o Ubuntu Server 10.04
o tutorial que usei foi http://www.vivaolinux.com.br/artigo/Proxy-Squid-com-autenticacao-+-Sarg-+-Webmin

meu squid.conf

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 1 hour
auth_param basic realm Digite seu Login e Sua Senha
auth_param basic casesensitive off
http_port 3128
visible_hostname Servidor de Internet
error_directory /usr/share/squid/errors/Portuguese
cache_dir ufs /var/spool/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 80 21 70 210 888
acl CONNECT method CONNECT
acl autenticados proxy_auth REQUIRED
acl sitebloqueado url_regex -i "/etc/squid/sitebloqueado"
http_access deny sitebloqueado
acl palavrabloq dstdom_regex "/etc/squid/palavrabloq"
http_access deny palavrabloq
acl permitidos src 10.0.0.0/24
acl all src 10.0.0.0/24
http_access allow autenticados permitidos
http_access deny all

meu sarg.conf

language Portuguese
access_log /var/log/squid/access.log
title "Relatorio de Acesso a Internet"
font_face Tahoma,Verdana,Arial
header_color darkblue
header_bgcolor blanchedalmond
font_size 13px
background_color white
text_color #000000
text_bgcolor lavender
title_color green
temporary_dir /tmp
output_dir /var/www/sarg
resolve_ip
user_ip no
topuser_sort_field BYTES reverse
user_sort_field BYTES reverse
exclude_users /etc/sarg/exclude_users
exclude_hosts /etc/sarg/exclude_hosts
date_format e
lastlog 0
remove_temp_files yes
index yes
index_tree file
overwrite_report yes
records_without_userid ip
use_comma yes
mail_utility mailx
topsites_num 100
topsites_sort_order CONNECT D
index_sort_order D
exclude_codes /etc/sarg/exclude_codes
max_elapsed 28800000
downloads
report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads
usertab /etc/sarg/usertab
long_url no
date_time_by bytes
charset Latin1
show_successful_message yes
show_read_statistics yes
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
topuser_num 0
download_suffix "zip,arj,bzip,gz,ace,doc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,ppt,rtf,src,shs,sys,exe,dll,mp3,avi,mpg,mpeg"

irado
(usa XUbuntu)

Enviado em 21/10/2010 - 14:53h

uma vez que seu squid não usa autenticação, não há como o sarg adivinhar o nome de usuário.

joaorafael
(usa Ubuntu)

Enviado em 21/10/2010 - 15:03h

Então, o problema que o squid ta usando autenticação ... e funcionando ... ele separa tudo pelo usuario, apenas a parte Proibido que mostra como usuario o IP da maquina .... e ao lado na parte do IP mostra novamente o IP ... Aqui seria super importante mostra o usuario, ja que 1 um usuario acessa mais de 1 maquina na internet... obrigado

ramos1986
(usa Debian)

Enviado em 21/10/2010 - 15:21h

opa blza cara.

utilize o seguinte sarg.conf (Obs: não sei se está igual ou não)

# TAG: Linguagem
language Portuguese

# TAG: Caminho para o arquivo Access.log
access_log /var/log/squid/access.log

# TAG: Graficos
graphs yes
graph_days_bytes_bar_color green

# TAG: Relatorios
title "[Acessos a Internet]"

# TAG: Visual
font_face Arial
header_color #666666
header_bgcolor #EEEEEE
header_font_size 9px
title_font_size 11px
background_color #FFFFFF
text_color #666666
text_bgcolor #FFFFFF
title_color #009999

# TAG: Temporarios
temporary_dir /tmp

# TAG: Diretorio (Modifique de acordo com sua necessidade)
output_dir /var/www/squid-reports/Daily

# TAG: Top Users
topuser_sort_field BYTES reverse
user_sort_field BYTES reverse

# TAG: URL Exclusao do Relatorio
exclude_hosts /etc/squid/sarg.hosts

# TAG: Filtragem de Strings
exclude_string /etc/squid/sarg.strings

# TAG: Filtragem de Usuarios
exclude_users /etc/squid/sarg.users

# TAG: Formato de Data
date_format e

# TAG: Limite de Logs [0 = Sem limites]
lastlog 0

# TAG: Mostrar IP
user_ip no

# TAG: Mostrar Usuario
usertab /etc/squid/sarg.usertab

# TAG: Gerando Relatario
remove_temp_files yes
index yes
overwrite_report yes
records_without_userid ignore
use_comma no
topsites_num 100
topsites_sort_order BYTES D
exclude_codes /etc/squid/sarg.exclude_codes
max_elapsed 28800000
report_typie topsites users_sites sites_users date_time denied auth_failures site_user_time_date
long_url no
show_successful_message no
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
topuser_num 0 download_suffix "zip,arj,bzip,gz,ace,doc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,ppt,rtf,src,shs,sys,exe,dll,mp3,avi,mpg,mpeg"


Após isso crie um scrpit com o conteudo abaixo e gere o relatório, verifique se agora aparece o usuário que tentou acessar o site negado.

#!/bin/bash
INICIO=$(date --date "0 days ago" +%d/%m/%Y)
FIM=$(date --date "0 day ago " +%d/%m/%Y)
sarg -f /etc/squid/sarg.conf -d $INICIO-$FIM -i -x -z

Qualquer novidade, posta ai.

joaorafael
(usa Ubuntu)

Enviado em 21/10/2010 - 16:45h

Galera Obrigado pela ajuda

bom atualizei o sarg.conf conforme nosso amigo acima, ficando desse jeito

language Portuguese
access_log /var/log/squid/access.log
graphs yes
graph_days_bytes_bar_color green
title "[Acessos a Internet]"
font_face Arial
header_color #666666
header_bgcolor #EEEEEE
header_font_size 9px
title_font_size 11px
background_color #FFFFFF
text_color #666666
text_bgcolor #FFFFFF
title_color #009999
temporary_dir /tmp
#
# MUDOU output
output_dir /var/www/sarg
#
topuser_sort_field BYTES reverse
user_sort_field BYTES reverse
#
# MUDOU exclude
exclude_users /etc/sarg/exclude_users
exclude_hosts /etc/sarg/exclude_hosts
#
date_format e
lastlog 0
user_ip no
#
# MUDOU USERTAB
usertab /etc/sarg/usertab
#
remove_temp_files yes
index yes
overwrite_report yes
records_without_userid ignore
use_comma no
topsites_num 100
topsites_sort_order BYTES D
#
# MUDOU excludes_codes
exclude_codes /etc/sarg/exclude_codes
#
max_elapsed 28800000
report_typie topsites users_sites sites_users date_time denied auth_failures site_user_time_date
long_url no
show_successful_message no
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
topuser_num 0
download_suffix "zip,arj,bzip,gz,ace,dpc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,ppt,rtf,src,shs,sys,exe,dll,mp3,avi,mpg,mpeg"

.
.
.

Com esse sarg.conf os sites restritos estao sendo bloqueados, mas nem esta aparecendo mais no sarg, o que será q ta errado.... o outro que estava usando ja aparece so naum aparece o usuario q tento acessar somente o ip ....

se alguem souber mais algo que posso tentar agradeço

ramos1986
(usa Debian)

Enviado em 21/10/2010 - 17:14h

Faz o seguinte, mantem então o sarg.conf antigo e executa o script que te passei para teste.

Posta o resultado

joaorafael
(usa Ubuntu)

Enviado em 23/10/2010 - 08:37h

Entao Ramos, testei sim, com os dois sarg.conf ... mas msmo assim nao deu certo...

Tem como postar foto aqui no forum pra mostrar como que ta???

Obrigado

joaorafael
(usa Ubuntu)

Enviado em 23/10/2010 - 09:50h

Galera, fuçando no access.log percebi que os sites proibidos nao tem usuario, tipow ... ele detecta usuario none, acredito que isso acontece, pq o usuario nem chegou a acessar o site, por isso nao deve ta salvando o nome do usuario e sim a maquina....

Teria algum jeito, de fazer com que o usuario seja autenticado antes de acessar a pagina, ow fazer um redirecionamento para uma outra html falando que foi proibido... exe: ele acessa www.playboy.com.br e eu redirecionaria para bloqueado.html ae acho que daria certo...

Agradeço a ajuda..
Obrigado

joaorafael
(usa Ubuntu)

Enviado em 23/10/2010 - 10:52h

Galera, entre no access.log do squid
e fui ate a linha onde estava o site bloqueado, coloquei manualmente o nome do usuario e gerei o relatorio sarg, ae sim deu certo.

Conclusão, provavelmente o squid nao ta salvando a autenticação quando o site esta na lista de bloqueados, como corrigir isso??? alguem sabe???

meu squid.conf

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic credentialsttl 1 hour
auth_param basic realm Digite seu Login e Sua Senha
auth_param basic casesensitive off
http_port 3128
visible_hostname Servidor de Internet
error_directory /usr/share/squid/errors/Portuguese
cache_dir ufs /var/spool/squid 5000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 80 21 70 210 888
acl CONNECT method CONNECT
acl autenticados proxy_auth REQUIRED
acl sitebloqueado url_regex -i "/etc/squid/sitebloqueado"
http_access deny sitebloqueado
acl palavrabloq dstdom_regex "/etc/squid/palavrabloq"
http_access deny palavrabloq
acl permitidos src 10.0.0.0/24
acl all src 10.0.0.0/24
http_access allow autenticados permitidos
http_access deny all

vlw galera

joaorafael
(usa Ubuntu)

Enviado em 26/10/2010 - 10:48h

Aewwwww galera, depois de muito trampo, descobri o erro

no squid.conf no final dele ond estava assim:

acl autenticados proxy_auth REQUIRED
acl sitebloqueado url_regex -i "/etc/squid/sitebloqueado"
http_access deny sitebloqueado
acl palavrabloq dstdom_regex "/etc/squid/palavrabloq"
http_access deny palavrabloq
acl permitidos src 10.0.0.0/24
acl all src 10.0.0.0/24
http_access allow autenticados permitidos
http_access deny all

fiz a seguinte alteração

acl permitidos src 10.0.0.0/24
acl all src 10.0.0.0/24
acl autenticados proxy_auth REQUIRED
acl sitebloqueado url_regex -i "/etc/squid/sitebloqueado"
acl palavrabloq dstdom_regex "/etc/squid/palavrabloq"
http_access deny autenticados sitebloqueado
http_access deny autenticados palavrabloq
http_access allow autenticados permitidos
http_access deny all

o segredo era colocar no http_access deny AUTENTICADOS sitebloqueado

vlw pela ajuda...

obrigado a todos