SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

1. SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Sérgio de Souza
sergiosgs

(usa Debian)

Enviado em 24/01/2012 - 16:04h

Boa tarde a todos

No meu servidor firewall/proxy com autenticação dos usuarios pelo AD, tenho o SARG para gerar esses relatórios como base nessa autenticação.
Ao acessar as informações desse relatório percebi as situações:
- É gerado os acessos do usuário pelo nome do AD, porém não me mostra os DENIED;
- Nos endereços IPs aí sim me mostra os acessos DENIED;

Aqui a rede está configurada com DHCP, e meu firewall é debian 6.0

Alguém sabe o por quê de estar gerando esses dois tipos de relatórios? Pois dessa forma quebra toda a função do relatório por usuário.


  


2. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 24/01/2012 - 16:29h

Você pode postar aqui o seu sarg.conf?


3. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Marcos Gabriel
MarkStuxnet

(usa openSUSE)

Enviado em 24/01/2012 - 16:30h

voce tem que postar o sarg


4. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Sérgio de Souza
sergiosgs

(usa Debian)

Enviado em 24/01/2012 - 16:57h

Opa, esqueci desse pequeno detalhe.. rs


# sarg.conf
access_log /var/log/squid/access.log
title "Squid User Access Reports"
font_face Tahoma,Verdana,Arial
header_color darkblue
header_bgcolor blanchedalmond
font_size 9px
background_color white
text_color #000000
text_bgcolor lavender
title_color green
temporary_dir /tmp
output_dir /var/www/html/squid-reports
resolve_ip no
user_ip no
topuser_sort_field BYTES reverse
user_sort_field BYTES reverse
exclude_users /etc/sarg/exclude_users
exclude_hosts /etc/sarg/exclude_hosts
date_format u
lastlog 0
remove_temp_files yes
index yes
index_tree file
overwrite_report yes
records_without_userid ip
use_comma yes
mail_utility mailx
topsites_num 100
topsites_sort_order CONNECT D
index_sort_order D
exclude_codes /etc/sarg/exclude_codes
max_elapsed 28800000
report_type topusers topsites sites_users users_sites date_time denied auth_failures site_user_time_date downloads
usertab /etc/sarg/usertab
long_url no
date_time_by bytes
charset Latin1
show_successful_message no
show_read_statistics no
topuser_fields NUM DATE_TIME USERID CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
user_report_fields CONNECT BYTES %BYTES IN-CACHE-OUT USED_TIME MILISEC %TIME TOTAL AVERAGE
topuser_num 0
download_suffix "zip,arj,bzip,gz,ace,doc,iso,adt,bin,cab,com,dot,drv$,lha,lzh,mdb,mso,ppt,rtf,src,shs,sys,exe,dll,mp3,avi,mpg,mpeg"





5. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 24/01/2012 - 17:07h

Cara muito esquisito, mas comparando o seu sarg.conf está bem parecido com o que eu uso...

Como vc está fazendo para gerar os relatórios, manualmente ou pelo cron?

Se for pelo cron poste aqui os argumentos passados para o seu sarg.


6. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Sérgio de Souza
sergiosgs

(usa Debian)

Enviado em 24/01/2012 - 17:26h

Olá phrich ...

no crontab está assim

59 23 * * * root sarg


Lá na config do sarg.conf

resolve_ip no (aqui não teria que ser yes ?)


7. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 24/01/2012 - 17:30h

sergiosgs escreveu:

Olá phrich ...

no crontab está assim

59 23 * * * root sarg


Lá na config do sarg.conf

resolve_ip no (aqui não teria que ser yes ?)


A linha resolve_ip é para resolver o nome do host

Trecho do arquivo original do sarg.conf

# TAG: user_ip yes/no
# Use Ip Address instead userid in reports.
# sarg -p
user_ip no


No meu cron eu utilizo da seguinte forma:

00 22 * * * /usr/sbin/sarg-reports today

Testa ai, talvez funcione...


8. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Sérgio de Souza
sergiosgs

(usa Debian)

Enviado em 24/01/2012 - 17:50h

Fiz o teste ... e não funcionou pelo cron, daí tive que executar direto "sarg-reports today".

Eu não consegui visualizar esse report, daí fui dar uma olhada no sarg-report.conf

######## sarg-report.conf
SARG=/usr/bin/sarg
CONFIG=/etc/sarg/sarg.conf
HTMLOUT=/var/lib/sarg
#HTMLOUT=/var/www/html/squid-reports
PAGETITLE="Access Reports on $(hostname)"
LOGOIMG=/sarg/images/sarg.png
LOGOLINK="http://$(hostname)/"
DAILY=Daily
WEEKLY=Weekly
MONTHLY=Monthly
EXCLUDELOG1="SARG: No records found"
EXCLUDELOG2="SARG: End"


--------------

Eu deveria descomentar o HTMLOUT=/var/www/html/squid-reports ... mais aí vai atrapalhar o outro sarg.conf ?




9. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 24/01/2012 - 17:53h

sergiosgs escreveu:

Fiz o teste ... e não funcionou pelo cron, daí tive que executar direto "sarg-reports today".

Eu não consegui visualizar esse report, daí fui dar uma olhada no sarg-report.conf

######## sarg-report.conf
SARG=/usr/bin/sarg
CONFIG=/etc/sarg/sarg.conf
HTMLOUT=/var/lib/sarg
#HTMLOUT=/var/www/html/squid-reports
PAGETITLE="Access Reports on $(hostname)"
LOGOIMG=/sarg/images/sarg.png
LOGOLINK="http://$(hostname)/"
DAILY=Daily
WEEKLY=Weekly
MONTHLY=Monthly
EXCLUDELOG1="SARG: No records found"
EXCLUDELOG2="SARG: End"


--------------

Eu deveria descomentar o HTMLOUT=/var/www/html/squid-reports ... mais aí vai atrapalhar o outro sarg.conf ?



Não, o HTMLOUT é onde devem ser salvos os relatórios, mas faça um backup dos existentes hoje.

E caso seu apache não esteja apontando para este diretório, corrija a linha ok?


10. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Sérgio de Souza
sergiosgs

(usa Debian)

Enviado em 26/01/2012 - 12:43h

phrich

Veja que estranho, até então tenho os relatórios até o dia 24, porém nem ontem 25/jan e nem hoje foram gerados os relatórios ...

Agora quando fui gerar manualmento o SARG, ele me retornou a mensagem

root@server-fw:/etc/sarg# sarg
sort: erro de escrita: /tmp/sarg/sortPe8lws: Não há espaço disponível no dispositivo
SARG: sort command return status 2
SARG: sort command: sort -T "/tmp/sarg" -k 4,4 -k 1,1 -k 2,2 -o "/tmp/sarg/192_168_2_142.log" "/tmp/sarg/192_168_2_142.unsort"

Daí faço um df e veja que ele enche o /tmp
/dev/sda9 725680 675708 13108 99% /tmp


Antes de executar o SARG eu já havia limpado o /tmp

Agora que não estou entendendo mais nada, o que pode ser?


11. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Phillip Vieira
phrich

(usa Slackware)

Enviado em 26/01/2012 - 12:48h

Cara, tente apagar novamente o conteúudo do diretório /tmp e depois confira se o mesmo possui espaço, esse erro eu nunca vi, mas provavelmete seria por o /tmp estar cheio mesmo.

Conferindo se o espaço de /tmp está ok, rode o sarg novamente.


12. Re: SARG gerando relatório por IP e nome do usuario [RESOLVIDO]

Sérgio de Souza
sergiosgs

(usa Debian)

Enviado em 27/01/2012 - 13:06h

Boa tarde phrich,

Ontem nos testes que fazia, eu já limpava /tmp ... mas mesmo assim dava o erro de falta de espaço.
Hoje quando cheguei fiz o teste novamente pois até então não tinha side gerado sozinho o relatório, agora está funcionando o relatório tanto manualmente ou pelo cron.
Só que ainda é gerado pelo nome (ID de rede, porém sem os DENIED) e pelo IP (mostra os acessos negados DENIED).

Voltei a origem do post, rsrsrs.... alguma dica mais?

Valeu, obrigado pelo help até aqui!!!



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts