[TRAFFIC][LOG] Как логировать всё

0

0

С сожалением читал новость на lenta.ru:
«Белорусские интернет-кафе обязали собирать данные о посетителях.»

Но как вы себе прекрасно представляете, негласную указку «логировать всё»
раздадут ещё и университетам, коледжам, библиотекам и т.п. где есть комп классы и посетители.

А теперь реальная ситуация:

Работаю в одном из университете РБ, в моём корпусе есть компьютерный класс для студентов.
Начальник недвусмысленно намекнул чтобы все логи сохранялись, потому мол, смотри, скоро придёт проверка.

Всё бы ничего если бы не:

а) Логировать надо все посещённые ресурсы, по всем протоколам.
б) Логировать пребывание студентов за компьютером и т.п. (это и так есть и в электронном и бумажном).
в) Хранить все логи минимум лет 6.
г) Бюджет доработки сервера-роутера: 0 Br.
д) Вести лог dns запросов.

Что требуется решить:

а) Как логировать защищённую передачу файлов, и хождение по https.
б) Как всё это хранить - место не резиновое. Уже сейчас 90% [62G 46G 14G 78% /var] одного /var - логи, отчёты, и т.п. переносить всё это некуда.
в) Полнота представленной информации (настолько на сколько это возможно).
г) Что ещё можно логировать, для полноты картины.

Что имеется:

a) Cтоит прозрачный кальмар и менять ничего не хочется. Логи есть.
б) Днс логи есть
в) Логи от trafd есть

Ссылка

←	solaris grub вывод в консоль загрузки ос

Подскажите, как удалить файлы из подпапок.

→

ИМХО затея фашистская. но как говорится хозяин барин.. и так :

а)логировать защищенные соединения можно (имеет смысл) только по факту установки соединения..
б)если учесть что хранить логи надо 6 лет (это ты сказал :)) то честно говоря хз.. тут много взаимосвязанных моментов, начиная от количества пользователей, заканчивая интенсивностью использования интернетов. Короче говоря даже если ты будешь их брутально спрессовывать файлы логов, тебе все равно придется мутить некий стордж.
в) Полнота информации достигается командой tcpdump -i ethX -vvvv -other options. А так стоит смотреть в сторону Snmp и netflow. Давать конкретные советы что куда логировать имхо нет смысла.. ибо тебе лучше знать.

Посмотрим что остальные скажут.

Valor ★
(06.05.10 09:02:35 MSD)

Самая большая проблема как раз с местом - и storage не всякий поможет. Проще пойти к руководителю и дать ему счета на дисковый массив для хранения логов. А там они уж пусть сами решают эти вопросы с КГБ (вроде у вас оно)

gserg ★★
(06.05.10 09:17:45 MSD)

Ответ на: комментарий от Valor 06.05.10 09:02:35 MSD

>6 лет (это ты сказал :))

Время обучения одного студента без вылетов.

tcpdump -i ethX -vvvv -other options

винтов точно не хватит.

~~guilder~~ ★
(06.05.10 09:50:56 MSD) автор топика

Ответ на: комментарий от gserg 06.05.10 09:17:45 MSD

> вопросы с КГБ (вроде у вас оно)

уже сказало , только у нас ещё кроме этого ведомства интернетом занимается ОАЦ. А сказало следующее «ЗА СВОЙ СЧЁТ».

~~guilder~~ ★
(06.05.10 09:52:40 MSD) автор топика

Ответ на: комментарий от guilder 06.05.10 09:52:40 MSD

Ну так твое дело то телячье.. выстави шефу счет на стордж терабайт эдак на 20 и любуйся его рожей.. для прикола можно посчитать (примерно) во сколько обойдется год хранения логов.

Valor ★
(06.05.10 09:55:16 MSD)

Ответ на: комментарий от guilder 06.05.10 09:50:56 MSD

>tcpdump -i ethX -vvvv -other options

винтов точно не хватит.

Сие шутка есть :)

Valor ★
(06.05.10 09:56:36 MSD)

Ссылка

Ответ на: комментарий от Valor 06.05.10 09:55:16 MSD

скорее лица бухгалтеров.

~~guilder~~ ★
(06.05.10 10:45:10 MSD) автор топика

Ссылка

Нормальной практикой считается фиксировать факт передачи данных, а не сами данные. Откуда, куда, по каким портам - и всё. SSL разгребать не надо - к чему такое усердие?

Инструментов куча: от ulog с ipfilter до netflow, объёмы данных на выходе минимальны.

as33 ★☆☆
(06.05.10 11:09:42 MSD)

Ответ на: комментарий от as33 06.05.10 11:09:42 MSD

то что у меня сейчас имеется - мне вполне хватает. Я могу по этим данным определить и вирусы, если появились, и кто куда по каким портам лазил - логи с trafd я не стираю.

Но фокус в том что нужно хранить урлы. как получить целый урл из https - я вижу только один способ - тащить историю всех браузеров и разгребать её на серваке.

~~guilder~~ ★
(06.05.10 11:33:34 MSD) автор топика

Ответ на: комментарий от guilder 06.05.10 11:33:34 MSD

Ты бы ещё раз почитал чему вас обязывают.

as33 ★☆☆
(06.05.10 11:36:53 MSD)

Ссылка

Ответ на: комментарий от guilder 06.05.10 11:33:34 MSD

ИМХО товарищ as33 прав.. netflow будет вполне достаточно, для уролв вполне хватит кастомного формата логов сквида.

Valor ★
(06.05.10 11:45:05 MSD)

Ссылка

Тут важно знать одно - в каком формате требуется хранить логи. А как правило такого формата никто не называет - т.е. тупо говорят «храните логи 6 лет». Так что не стоит заморачиваться, как сказали выше - достаточно хранить «src ip» + «dst ip» + «src port» + «dst port» + «timestamp» + «Nbytes».

Была похожая ситуация в РФ у знакомых - пришли дяди из МВД и сказали что им нужны логи некоторых серверов клиентов которые хостились в ДЦ на коло. На что в ответ они получили несколько ДВД болванок вывода tcpdump'а за пару дней. Больше никто не приходил.

FreeBSD ★★★
(06.05.10 15:10:44 MSD)

Ответ на: комментарий от FreeBSD 06.05.10 15:10:44 MSD

буду ждать проверки. всё равно отгребу,даже если всё будет впорядке.

~~guilder~~ ★
(07.05.10 04:19:57 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	solaris grub вывод в консоль загрузки ос

Admin

Подскажите, как удалить файлы из подпапок.

→

Похожие темы