Monitoramento IP [RESOLVIDO]

1. Monitoramento IP [RESOLVIDO]

guasca
(usa Debian)

Enviado em 13/12/2013 - 13:57h

Boa tarde caros!

Seguinte, na empresa onde trabalho, o nosso firewall é terceirizado, entretanto o nosso fornecedor esta demorando as vezes para dar retornos, devido a demanda deles também, e toda vez preciso da ajuda deles para fazer liberações e fico na mão dos caras, por isso preciso aprender essa parada. Em algumas situações ele me dizem: "Vai lá faz os acessos que estamos monitorando o IP desta estação", de que forma eles fazem isso? É um arquivo log que é criado e depois eles visualizam ele, ou de qual maneira eles fazem isso?

Nosso firewall é um Debian 4.1 com IPtables e Squid...

Abraços pessoal

0 0

Quote

2. Re: Monitoramento IP [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 13/12/2013 - 15:09h

É um arquivo texto, q é o log do squid. Ele fica localizado em /var/log/squid/access.log. Quando vc usa o comando abaixo:



tail -f /var/log/squid/access.log | grep IP_DO_CARA

Ele, em tempo real, v os acessos filtrados (pelo grep) com o IP do cara. Simples assim.

0 0

Quote

3. Re: Monitoramento IP [RESOLVIDO]

guasca
(usa Debian)

Enviado em 13/12/2013 - 19:40h

renato_pacheco escreveu:

É um arquivo texto, q é o log do squid. Ele fica localizado em /var/log/squid/access.log. Quando vc usa o comando abaixo:



tail -f /var/log/squid/access.log | grep IP_DO_CARA

Ele, em tempo real, v os acessos filtrados (pelo grep) com o IP do cara. Simples assim.

Ola Renato, muito obrigado pela sua ajuda, só que não trouxe o que eu queria, andei vendo, e neste diretório não temos nenhum arquivo access.log, tem um arquivo access.log.1 visualizei ele no VI e lá dentro realmente tem um monte de linhas creio que sejam os logs de acessos, agora falta somente aprender a usar direito o tail e o grep e filtrar as informações!!!

Eu até utilizei a sua linha acima, ficou desta forma:

tail -f /var/log/squid/access.log.1 | grep 192.168.1.67

mas ele não me trazia nada.

Mas creio que seja desta forma que deve ficar a linha do comando.

neste diretorio, /var/log/squid tinha vários outros arquivos .log, tipo assim: [*****].log, movies.log e estes tinham alguns registros de acessos e tinha uns IPS, eu pensei que poderia ser que o IP acima não tinha registros mas utilizei o mesmo comando com ips que tinha registros nestes [*****].log e movies.log mas ainda assim não me trouxe nada... o que será que eu devo estar errando?
não estou na empresa agora, e o acesso SSH esta bloqueado externamente, segunda eu copio o colo aqui o que esta ocorrendo.

Mas creio que preciso entender melhor a ferramenta tail e grep

Abraços pessoal

0 0

Quote

4. Re: Monitoramento IP [RESOLVIDO]

guasca
(usa Debian)

Enviado em 18/12/2013 - 16:52h

Olha só Renato, quando eu dou o comando que me relatastes e dou um enter, o cursor salta na linha de baixo e fica nisso, imagino que poderia ter bastante coisa e demorar mas deixei uns dez minutos rodando e nada, e quando pressiono uma tecla, ele solta os caracteres abaixo "^[[B^[[B^[[B^C"

:~# tail -f /var/log/squid/access.log.1 | grep 192.168.2.45
^[[B^[[B^[[B^C

Desculpa pessoal meu amadorismo, mas estou iniciando na vida com o Linux!

Não sei esse arquivo, se é pelo fato dele ser ".log.1"...

Se alguém puder me ajudar eu agradeço.

0 0

Quote

5. Re: Monitoramento IP [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 18/12/2013 - 16:58h

O arquivo correto é access.log. Os outros são logs antigos. O comando fica aguardando msm e qq tecla q vc aperta aparece aqueles caracteres estranhos. Vai aparecer algo se o IP q vc menciona está acessando, naquele momento, no squid.

0 0

Quote

6. Re: Monitoramento IP [RESOLVIDO]

guasca
(usa Debian)

Enviado em 19/12/2013 - 13:28h

renato_pacheco escreveu:

O arquivo correto é access.log. Os outros são logs antigos. O comando fica aguardando msm e qq tecla q vc aperta aparece aqueles caracteres estranhos. Vai aparecer algo se o IP q vc menciona está acessando, naquele momento, no squid.

E se por acaso eu não tenho este arquivo Access.log neste diretório? Imagino que ele possa estar em outro local?

0 0

Quote

7. Re: Monitoramento IP [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 19/12/2013 - 14:04h

Pra vc ter certeza, vc deve olhar no squid.conf.

0 0

Quote

8. Re: Monitoramento IP [RESOLVIDO]

guasca
(usa Debian)

Enviado em 30/12/2013 - 13:52h

Renato, achei o arquivo access.log, veja só utilizei o comando grep para fazer a busca pelo IP, abaixo estão algumas linhas que eu copiei, poderia me ajudar a interpretar estas linhas? Por exemplo o que seria o "TCP_DENIED"?

/var/log/squid/access.log:1388410544.271 10883 192.168.1.167 TCP_MISS/200 37197 CONNECT www.ne2.bradesconetempresa.b.br:443 nome.usuario DIRECT/200.155.86.74 -
/var/log/squid/access.log:1388410573.160 544 192.168.1.167 TCP_MISS/200 705 GET http://csm70-en.url.trendmicro.com/T/216/M318s8GHJ8DPmvcyKRL74Uzu4iR79nprI4Ks6DBSjWSSh0cjw1T1rbDDJ2Y... - DIRECT/177.84.167.144 text/html
/var/log/squid/access.log:1388410573.733 560 192.168.1.167 TCP_DENIED/407 1998 GET http://bupdates.trusteer.com/rapport/agent-bin? - NONE/- text/html
/var/log/squid/access.log:1388410573.754 6 192.168.1.167 TCP_DENIED/407 2223 GET http://bupdates.trusteer.com/rapport/agent-bin? - NONE/- text/html
/var/log/squid/access.log:1388410573.799 1 192.168.1.167 TCP_DENIED/407 1998 GET http://bupdates.trusteer.com/rapport/agent-bin? - NONE/- text/html
/var/log/squid/access.log:1388410584.112 0 192.168.1.167 TCP_DENIED/407 1962 CONNECT www.ne2.bradesconetempresa.b.br:443 - NONE/- text/html
/var/log/squid/access.log:1388410584.115 0 192.168.1.167 TCP_DENIED/407 2187 CONNECT www.ne2.bradesconetempresa.b.br:443 - NONE/- text/html
/var/log/squid/access.log:1388410590.911 115 192.168.1.167 TCP_MISS/200 915 GET http://www.bradescopj.com.br/ - DIRECT/187.59.4.11 text/html
/var/log/squid/access.log:1388410591.089 79 192.168.1.167 TCP_MISS/200 20929 GET http://www.bradescopj.com.br/html/pessoajuridica/index.shtm - DIRECT/187.59.4.11 text/html
/var/log/squid/access.log:1388408913.611 240461 192.168.1.167 TCP_MISS/200 7036 CONNECT maps-api-ssl.google.com:443 - DIRECT/173.194.42.142 -
/var/log/squid/access.log:1388408914.486 46707 192.168.1.167 TCP_MISS/200 37148 CONNECT banklineplus.itau.com.br:443 - DIRECT/200.196.152.214 -
/var/log/squid/access.log:1388408914.723 46972 192.168.1.167 TCP_MISS/200 17330 CONNECT banklineplus.itau.com.br:443 - DIRECT/200.196.152.214 -
/var/log/squid/access.log:1388408914.830 206 192.168.1.167 TCP_MISS/200 8187 CONNECT banklineplus.itau.com.br:443 - DIRECT/200.196.152.214 -
/var/log/squid/access.log:1388408914.876 274 192.168.1.167 TCP_MISS/200 8480 CONNECT banklineplus.itau.com.br:443 - DIRECT/200.196.152.214 -
/var/log/squid/access.log:1388408914.951 325 192.168.1.167 TCP_MISS/200 9795 CONNECT banklineplus.itau.com.br:443 - DIRECT/200.196.152.214 -
/var/log/squid/access.log:1388408915.181 453 192.168.1.167 TCP_MISS/200 10661 CONNECT banklineplus.itau.com.br:443 - DIRECT/200.196.152.214 -
/var/log/squid/access.log:1388408915.519 426 192.168.1.167 TCP_MISS/200 32613 CONNECT banklineplus.itau.com.br:443 - DIRECT/200.196.152.214 -

0 0

Quote

9. Re: Monitoramento IP [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 30/12/2013 - 20:48h

É assim:

TCP_DENIED: foi negado pelo squid
TCP_MISS: passou pelo squid sem fazer cache
CONNECT: método de conexão (porta 443)

Agora vc vai saber o q tá sendo negado ou liberado no seu squid.

0 0

Quote