Стоит задача писать лог (или прямо в базу) по каким URL'aм, в какое время ходил юзер из локальной сетки. В логе должно быть 3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы не дублировались по многу раз при загрузке страници.
З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо реализовать именно при помощи snort.

Заранее благодарен.

• Snort и логирование посещенных URL'ов.,bass, 12:22 , 15-Июл-03
  • Snort и логирование посещенных URL'ов.,__Serg__, 12:39 , 15-Июл-03
    • Snort и логирование посещенных URL'ов.,_Serg_, 18:20 , 15-Июл-03
• Snort и логирование посещенных URL'ов.,77, 15:40 , 10-Фев-04
  • Snort и логирование посещенных URL'ов.,Gerasim, 10:51 , 05-Мрт-04
    • Snort и логирование посещенных URL'ов.,77, 16:31 , 24-Авг-04
      • Snort и логирование посещенных URL'ов.,Serg, 10:30 , 06-Сен-04
        • Snort и логирование посещенных URL'ов.,lamerusha, 18:33 , 06-Сен-04
          • Snort и логирование посещенных URL'ов.,Serg, 10:06 , 07-Сен-04

>Стоит задача писать лог (или прямо в базу) по каким URL'aм, в
>какое время ходил юзер из локальной сетки. В логе должно быть
>3 поля: время, ip юзера, полный URL. Также необходимо чтобы урлы
>не дублировались по многу раз при загрузке страници.
>З.Ы. вариант со SQUID'ом и прочими проксями - не предлагать. Это надо
>реализовать именно при помощи snort.
>
>Заранее благодарен.

snort -v и смотреть минут 15.
вы либо поймёте как это сделать, либо увидите матрицу ;)

p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас тут целый комплекс аля прокси никто писать не будет, потому что есть уже готовые, но они вам ненужны. тупик.

>snort -v и смотреть минут 15.
>вы либо поймёте как это сделать, либо увидите матрицу ;)

:) да, но содержимое пакетов не отображается ...

>p.s. при хорошем желании это можно и с snort-рулесами/плагинами замутить... за вас
>тут целый комплекс аля прокси никто писать не будет, потому что
>есть уже готовые, но они вам ненужны. тупик.

я написал рулес, и оно мне все в один лог загоняет, но информация представляется в таком виде:

07/15-10:47:44.920214 192.168.1.2:2553 -> 194.85.34.226:80
TCP TTL:128 TOS:0x0 ID:5050 IpLen:20 DgmLen:494 DF
***AP*** Seq: 0x3AE0D3F3  Ack: 0x615BB289  Win: 0x4470  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/15-10:47:46.171212 192.168.1.2:2552 -> 194.85.34.226:80
TCP TTL:128 TOS:0x0 ID:5059 IpLen:20 DgmLen:495 DF
***AP*** Seq: 0x3AD90922  Ack: 0x77782234  Win: 0x40F5  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

а мне надо видеть урлы ... вот как сделать чтобы оно информацию о урлах в логи записывало?

Вот малехо разобрался, прописал в конфиг снорта такую строку:
output log_tcpdump: snort.log
а в рулес следующее:
log tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (logto:"web.log"; connect:"Referer\: http\://"; flow:to_server,established;)
теперь пропарсив лог я могу видеть на какие страници ходили, но в таком логе нет времени, и ип юзера, который обращался по даному урлу.
Как можно к алерту напимер, или к логу приаттачить вывод tcpdumpa? или сделать чтобы в выводе tcpdumpa было время и ip юзера?

есть вариант воспользоваться тем, что уже есть:
www.arsoft.ru предлагает Lingate.

>есть вариант воспользоваться тем, что уже есть:
>www.arsoft.ru предлагает Lingate.

это все за деньги!
бесплатного нету

>это все за деньги!

За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться с тонкостями системного программирования. Экономишь уйму времени.

>>это все за деньги!
>
>За деньги это не всегда плохо. Удобно для тех, кому некогда разбираться
>с тонкостями системного программирования. Экономишь уйму времени.
Вопрос уже не актуальный ...
Сделал все сам, получилось функционально не хуже Lingate, правда эстетически пока менее красиво ... все пишится в реалтайме (урлы, ип, порты), потом агрегируется ... в общем получился полноценный биллинг для домашней сети, правда не пробовал при больших нагрузках, но 100 клиентов свободно обсчитывает.

.... вечный вопрос биллинга ;)

   расскажи про свое решение .. что оно умеет ? под чем бегает ? как считаешь ?

   если честно, мне оочень интересно - как у тебя сделано - Явно не стандартно - если ты решил юзать снорт ..;)

>.... вечный вопрос биллинга ;)
>
>   расскажи про свое решение .. что оно умеет ?
>под чем бегает ? как считаешь ?
>
>   если честно, мне оочень интересно - как у тебя
>сделано - Явно не стандартно - если ты решил юзать снорт
>..;)

  :), не, на счет snort'a - это было давно, тогда ситуация не позволяла проксю поставить, а от меня требовали оповещения в реал-тайме когда кто-то на опр. сайт лезет, да и надо было вести полный лог кто куда когда ходил ...

Сейчас стоит прозрачный сквид, башем лог парсится, и в БД пишится, пишу для удобства пользователей, чтобы видели куда их траффик девается ... да и потом в конце месяца видно сколько % из кэша взято ...
Все остальное пишится с помощью переделанного uloga ...
Потом вся инфа аггрегируется и занимает очень мало места (хотя многие пугали что винта не хватит :) главное вовремя вирей зарубить, т.к. они ип перебирают и инфа почти не аггрегируется ... Вот для этого snort как раз то что надо :) )
Основная заморочка с хитрыми тарифными планами (например ежедневное списание лимита траффика, независимо от того сидел юзер или нет, изменение цены в зависимости от QoS, времени суток ...) но вроде уже дописал, теперь можно изголятся с любыми тарифами :)
Написал скрипты интеграции биллинга с DNS, DHCP, FTP, MAIL, шейпером и прочим ...
Ну в общем если интересно стучите в icq 155280021