SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

sergiosgs
(usa Debian)

Enviado em 24/01/2012 - 16:04h

Boa tarde a todos

No meu servidor firewall/proxy com autenticação dos usuarios pelo AD, tenho o SARG para gerar esses relatórios como base nessa autenticação.
Ao acessar as informações desse relatório percebi as situações:
- É gerado os acessos do usuário pelo nome do AD, porém não me mostra os DENIED;
- Nos endereços IPs aí sim me mostra os acessos DENIED;

Aqui a rede está configurada com DHCP, e meu firewall é debian 6.0

Alguém sabe o por quê de estar gerando esses dois tipos de relatórios? Pois dessa forma quebra toda a função do relatório por usuário.

phrich
(usa Slackware)

Enviado em 24/01/2012 - 16:29h

Você pode postar aqui o seu sarg.conf?

MarkStuxnet
(usa openSUSE)

Enviado em 24/01/2012 - 16:30h

voce tem que postar o sarg

sergiosgs
(usa Debian)

Enviado em 24/01/2012 - 16:57h

Opa, esqueci desse pequeno detalhe.. rs


# sarg.conf
access_log /var/log/squid/access.log
title "Squid User Access Reports"
font_face Tahoma,Verdana,Arial
header_color darkblue
header_bgcolor blanchedalmond
font_size 9px
background_color white
text_color #000000
text_bgcolor lavender
title_color green
temporary_dir /tmp
output_dir /var/www/html/squid-reports
resolve_ip no
user_ip no
topuser_sort_field BYTES reverse
user_sort_field BYTES reverse
exclude_users /etc/sarg/exclude_users
exclude_hosts /etc/sarg/exclude_hosts
date_format u
lastlog 0
remove_temp_files yes
index yes
index_tree file
overwrite_report yes
records_without_userid ip
use_comma yes
mail_utility mailx
topsites_num 100
topsites_sort_order CONNECT D
index_sort_order D
exclude_codes /etc/sarg/exclude_codes
max_elapsed 28800000
report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads
usertab /etc/sarg/usertab
long_url no
date_time_by bytes
charset Latin1
show_successful_message no
show_read_statistics no
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
topuser_num 0
download_suffix "zip,arj,bzip,gz,ace,doc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,ppt,rtf,src,shs,sys,exe,dll,mp3,avi,mpg,mpeg"

phrich
(usa Slackware)

Enviado em 24/01/2012 - 17:07h

Cara muito esquisito, mas comparando o seu sarg.conf está bem parecido com o que eu uso...

Como vc está fazendo para gerar os relatórios, manualmente ou pelo cron?

Se for pelo cron poste aqui os argumentos passados para o seu sarg.

sergiosgs
(usa Debian)

Enviado em 24/01/2012 - 17:26h

Olá phrich ...

no crontab está assim

59 23 * * * root sarg


Lá na config do sarg.conf

resolve_ip no (aqui não teria que ser yes ?)

phrich
(usa Slackware)

Enviado em 24/01/2012 - 17:30h

A linha resolve_ip é para resolver o nome do host

Trecho do arquivo original do sarg.conf

# TAG: user_ip yes/no
# Use Ip Address instead userid in reports.
# sarg -p
user_ip no


No meu cron eu utilizo da seguinte forma:

00 22 * * * /usr/sbin/sarg-reports today

Testa ai, talvez funcione...

sergiosgs
(usa Debian)

Enviado em 24/01/2012 - 17:50h

Fiz o teste ... e não funcionou pelo cron, daí tive que executar direto "sarg-reports today".

Eu não consegui visualizar esse report, daí fui dar uma olhada no sarg-report.conf

######## sarg-report.conf
SARG=/usr/bin/sarg
CONFIG=/etc/sarg/sarg.conf
HTMLOUT=/var/lib/sarg
#HTMLOUT=/var/www/html/squid-reports
PAGETITLE="Access Reports on $(hostname)"
LOGOIMG=/sarg/images/sarg.png
LOGOLINK="http://$(hostname)/"
DAILY=Daily
WEEKLY=Weekly
MONTHLY=Monthly
EXCLUDELOG1="SARG: No records found"
EXCLUDELOG2="SARG: End"


--------------

Eu deveria descomentar o HTMLOUT=/var/www/html/squid-reports ... mais aí vai atrapalhar o outro sarg.conf ?

phrich
(usa Slackware)

Enviado em 24/01/2012 - 17:53h

Não, o HTMLOUT é onde devem ser salvos os relatórios, mas faça um backup dos existentes hoje.

E caso seu apache não esteja apontando para este diretório, corrija a linha ok?

sergiosgs
(usa Debian)

Enviado em 26/01/2012 - 12:43h

phrich

Veja que estranho, até então tenho os relatórios até o dia 24, porém nem ontem 25/jan e nem hoje foram gerados os relatórios ...

Agora quando fui gerar manualmento o SARG, ele me retornou a mensagem

root@server-fw:/etc/sarg# sarg
sort: erro de escrita: /tmp/sarg/sortPe8lws: Não há espaço disponível no dispositivo
SARG: sort command return status 2
SARG: sort command: sort -T "/tmp/sarg" -k 4,4 -k 1,1 -k 2,2 -o "/tmp/sarg/192_168_2_142.log" "/tmp/sarg/192_168_2_142.unsort"

Daí faço um df e veja que ele enche o /tmp
/dev/sda9 725680 675708 13108 99% /tmp


Antes de executar o SARG eu já havia limpado o /tmp

Agora que não estou entendendo mais nada, o que pode ser?

phrich
(usa Slackware)

Enviado em 26/01/2012 - 12:48h

Cara, tente apagar novamente o conteúudo do diretório /tmp e depois confira se o mesmo possui espaço, esse erro eu nunca vi, mas provavelmete seria por o /tmp estar cheio mesmo.

Conferindo se o espaço de /tmp está ok, rode o sarg novamente.

sergiosgs
(usa Debian)

Enviado em 27/01/2012 - 13:06h

Boa tarde phrich,

Ontem nos testes que fazia, eu já limpava /tmp ... mas mesmo assim dava o erro de falta de espaço.
Hoje quando cheguei fiz o teste novamente pois até então não tinha side gerado sozinho o relatório, agora está funcionando o relatório tanto manualmente ou pelo cron.
Só que ainda é gerado pelo nome (ID de rede, porém sem os DENIED) e pelo IP (mostra os acessos negados DENIED).

Voltei a origem do post, rsrsrs.... alguma dica mais?

Valeu, obrigado pelo help até aqui!!!