Duvida no resultado do SARG

Caros,

Instalei aqui na empresa um servidor debian squeeze e nele configurei o dhcp + iptables + squid + sarg, e esta funcionando tudo perfeitamente, só que não estou gostando do resultado dos relatórios gerados pelo SARG.

A diretoria da empresa quer saber o horário que os funcionário acessam o facebook, youtube e etc... até ai tudo bem, mas eu estava verificando o relatório e tem maquinas que quando eu clico no facebook, me mostra que foi acessado o dia inteiro, no começo achei que a pessoa ficava logada no site o dia inteiro, mas depois fui fazer um teste em uma maquina sem acessar o site por algumas horas e quando fui gerar o relatório, me mostrou o acesso ao site. Eu estou suspeitando que mesmo as pesquisas feitas no google aparecem o facebook, vocês sabem como posso resolver esse problema?

Isso não é problema do SARG. O Sarg somente faz os relatórios do Squid. Quem faz todo o trabalho pesado é o Squid. Para esse teu problema verifique teu squid.conf.
Se quiser, posta ele aqui.

Faz sentido... Essa configuração eu adaptei de uma arquivo de exemplo pego no site.

# Configuração Squid
# Porta do Squid
http_port 3128 transparent

# Nome do servidor
visible_hostname Linux

# Cache
cache_mem 100 MB
maximum_object_size_in_memory 32 KB
maximum_object_size 1024 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 100 16 256

# Logs de acesso
access_log /var/log/squid3/access.log squid

# Regras acl padrão
acl manager proto cache_object
acl localhost src 127.0.0.1

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # swat
acl Safe_ports port 1025-65535 # portas altas
acl CONNECT method CONNECT

# Permissões e bloqueios padrão
http_access allow manager localhost
http_access deny manager
http_access allow localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# Bloqueio de sites por URL
acl sites_proibidos url_regex -i "/etc/squid3/regras/sites_proibidos"
http_access deny sites_proibidos

# Bloqueio de downloads por extensão
#acl downloads_proibidos url_regex -i \.exe \.torrent \.avi
#http_access deny downloads_proibidos

# Permisão rede local e servidor
acl redelocal src 192.168.0.0/24
http_access allow localhost
http_access allow redelocal

# Bloqueio de usuarios fora da rede
http_access deny all

acl localhost src 127.0.0.1/32 << esta linha deixe assim.


http_access allow localhost << esta linha você tem duas delas, delete a primeira.

Porém, isso tem nada a ver com o teu problema do facebook.


"mas depois fui fazer um teste em uma maquina sem acessar o site por algumas horas e quando fui gerar o relatório, me mostrou o acesso ao site."

Mostrou o acesso ao site no IP dessa máquina especificamente?
Mesmo sem você ter acessado o facebook nessa máquina?

Teste bloqueando o facebook na porta 443 no Iptables, antes do redirecionamento para o Squid. Faça a alteração reinicie o Squid, o Iptables e o Apache e teste:

iptables -I FORWARD -p tcp --dport 443 -m string --algo bm --string "facebook.com" -j DROP

Respondendo a suas perguntas, sim, ele mostra o site "www.facebook.com"; em todas horas do dia no ip da maquina e sem ter acessado o mesmo.

Vou fazer os ajustes que você me pediu, fazer um teste e posto os resultados.

Tenho uma suspeita que que a sessão esta ficando aberta quando a aba é fechada tente colocar esta linha no seu squid.conf:

half_closed_clients off

 

http://www.squid-cache.org/Doc/config/half_closed_clients/

Buckminster e andrecanhadas, fiz os ajustes mas não obtive sucesso... o site "www.facebook.com"; aparece a todo instante no log do usuário, hoje eu fiz um teste apenas navegando em sites como uol, terra, g1 e etc... mas mesmo assim o raio do facebook apareceu no log... sera q a maioria dos sites(portais) fazem algum tipo de acesso nele e por isso ele vem junto no log?

É improvável que isso aconteça. O que poderia acontecer é que com essas integrações entre Skype, facebook, Twitter, etc, quando alguém acessasse o Skype, por exemplo, já ficar logado no facebook. Mas como você testou aí na máquina (e provavelmente deve ter reiniciado ela), essa hipótese está descartada.

Faça mais uma coisa, vamos radicalizar limpando o cache:

Pare o Squid e execute, como root:

# rm -rf /var/spool/squid3/*

# squid -z

E teste em uma das máquinas acessando uns 3 ou 4 sites como uol, terra, g1, etc.

Fiz o que você pediu e para testar eu liguei uma outra maquina, acessei direto o site do g1 e naveguei dentro dele por alguns minutos, depois gerei o relatório e o "www.facebook.com"; estava la... cada vez mais que eu navegava pelo site, mais ele aparecia... assim vai ficar difícil eu saber o horário em que os funcionários acessam o facebook... vou continuar fazendo mais alguns testes.

acho que descobri o link que esta me causando todo esse problema, eu alterei no sarg.conf a linha long_url para yes e gerei o relatorio, esse link "www.facebook.com/plugins/like.php?"; aparece varias vezes, eu creio que ele seja chamado na maioria dos sites... vou fazer um teste com esse link no exclude e ver se resolve o problema.

É bem provavel muitos sites,blogs usam esse plugin e quando acessa uma pagina pricipalmente portais dezenas de outros dominios são acessados pro carregar banner arquivos.js e css

É isso mesmo, o problema é que tem muitos links "www.facebook.com/plugins/algumacoisa";. Meu outro problema agora é outro, eu coloquei esse link no arquivo exclude_hosts do sarg para ver se resolveria o problema, mas ele me apaga tudo que tenha "www.facebook.com";, que é justamente o que eu gostaria de deixar mostrando.