Bonjour,
après mainte et mainte recherche je n'arrive pas à solutionner mon problème, je m'explique :
- je fais tourner une ipcop 1.4.11 avec advproxy pour me permettre de loguer les traces des utilisateurs qui vont sur le net.
- sur mon orange je met en place un serveur de log (fedora core 6, syslog)
- je le configure sur mon ipcop
- je rapatrie tout sauf ce qu'il me faut, c'est à dire le ficher acces.log de squid
Après mes recherches j'ai trouver une solution qui contiste à loguer avec un tail -f les traces en temps réel de mes utilisateurs mais là le cpu ne suit plus.
Ensuite j'ai trouvé une réponse dans un forum qui disait de loguer le local4 mais là idem ce ne sont pas les accès utilisateurs, dans un autre forum j'ai lu que cela devrait arriver avec la version 3 de squid, mais bon c'est comme tout on ne sait pas quand il va arriver.
Alors je me demandais si quelqu'un, par hasard ou par besoin, s'était déjà penché sur le problème.
Merci d'avance.
Ipcop + Squid + Syslog
Modérateur: modos Ixus
3 messages
• Page 1 sur 1
Ipcop + Squid + Syslog
par ksv » 05 Déc 2006 19:27
- ksv
- Second Maître
- Messages: 30
- Inscrit le: 08 Nov 2006 17:27
par jdh » 05 Déc 2006 21:54
Tu peux remarquer que "syslog" est un système qui sert à logguer des évenements concernant l'activité système. Il s'agit d'un protocole "extremement" simple reliant un émetteur (qui envoie un message) et un serveur (qui stocke le message).
Souvent l'émetteur et le serveur sont identiques. Le port utilisé est 514 (UDP de mémoire mais il semble possible d'utiliser TCP). Les messages sont limités strictement à 1024 octets.
Ce protocole est prévu pour enregistrer des changements d'états de services ou outils tournant sur une même ou plusieurs machines. Lequels évenement sont généralement peu nombreux. Sans compter que la partie réseau repose sur UDP au risque d'engorgement et de non fiabilité.
Syslog est donc indiqué pour recueillir les changement d'états de Squid (démarrage, arrêt, anomalie, saturation du cache, ...).
Il me parait clair que l'objectif de "syslog" et de "access.log" sont très différents en sus de différences fonctionnelles évidentes (protocole réseau, petit débit pour syslog contre écriture sur disque d'un gros volume de données pour access.log). Mais au delà, c'est la nature des traitements qui est vraiment importantes : syslog enregistre des évènements historiques : on peut trouver qu'un service tombe entrainant le blocage d'un autre, tandis qu'access.log enregistre de façon parfaitement structurée des infos d'une transaction.
Le stockage d'access.log pourrait bien plutôt se faire dans une base de données puisque ce sont des champs données (adresse ip, compte, url, code retour, paramêtre, temps, taille, ...). De plus le but final est l'analyse statistique par critère ou la recherche précise selon un critère.
Pour syslog, on stocke seulement date/heure, hôtes, service, message. Ce qui est succint en terme de champs.
Si le besoin est l'archivage, il faut plutôt regarder du côté de logrotate et squid -k. Enfin me semble-t-il.
Souvent l'émetteur et le serveur sont identiques. Le port utilisé est 514 (UDP de mémoire mais il semble possible d'utiliser TCP). Les messages sont limités strictement à 1024 octets.
Ce protocole est prévu pour enregistrer des changements d'états de services ou outils tournant sur une même ou plusieurs machines. Lequels évenement sont généralement peu nombreux. Sans compter que la partie réseau repose sur UDP au risque d'engorgement et de non fiabilité.
Syslog est donc indiqué pour recueillir les changement d'états de Squid (démarrage, arrêt, anomalie, saturation du cache, ...).
Il me parait clair que l'objectif de "syslog" et de "access.log" sont très différents en sus de différences fonctionnelles évidentes (protocole réseau, petit débit pour syslog contre écriture sur disque d'un gros volume de données pour access.log). Mais au delà, c'est la nature des traitements qui est vraiment importantes : syslog enregistre des évènements historiques : on peut trouver qu'un service tombe entrainant le blocage d'un autre, tandis qu'access.log enregistre de façon parfaitement structurée des infos d'une transaction.
Le stockage d'access.log pourrait bien plutôt se faire dans une base de données puisque ce sont des champs données (adresse ip, compte, url, code retour, paramêtre, temps, taille, ...). De plus le but final est l'analyse statistique par critère ou la recherche précise selon un critère.
Pour syslog, on stocke seulement date/heure, hôtes, service, message. Ce qui est succint en terme de champs.
Si le besoin est l'archivage, il faut plutôt regarder du côté de logrotate et squid -k. Enfin me semble-t-il.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
3 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité