SARG.GenerandoReportesde Squid. Original: HugoCisneros.

hugoen devimpuntocompuntobr TraduccionCastellano:AlbertoPermuyalberto punto permuyen gmail punto com

Sarg(Squid Analysis Report Generator) es una muy buena herramienta desarrollada por un brasileo llamado Pedro Orso, que permite saber dnde han estado navegando los usuarios en Internet , a travs del anlisis del fichero de log access.log del famoso proxy Squid.El poder de esta herramienta es increble, pudiendo saber qu usuarios accedieron a qu sitios, a qu horas, cuantos bytes han sido descargados, relacin de sitios denegados,errores de autentificacin...entre otros. La flexibilidad que puede obtener con Sarg es muy alta, principalmente para las empresas que quierentener un control de accesosy anchode bandade accesoa Internet. Vamos a instalar y a configurar SARGpara que genere los reportes diarios de los accesos del Squid. Para ello necesitamos Squid ya configurado y funcionando(no se explicar en este manual), que genere los logs de acceso en el fichero access.log. Si usted no sabe qu fichero es que almacena los logs de Squid, comprube la siguiente linea en su ficherosquid.conf, si no existe, aadaa este fichero: cache_acces_log /var/log/squid/access.log Generalmente el fichero de configuracin de Squid est en /etc/squid/squid.conf. La lnea mencionada en el apartado anterior especifica que el fichero de log deber estar en /var/log/squid/access.log. Si ha tenido que aadir esta lnea a su ficherode configuracinde Squid, reinicie Squid con reload para que los cambiosseanefectivos. Ahoravamosa lo que interesa. NecesitadescargarSARGde: http://sarg.sourceforge.net/sarg.php En este tutorial, he pasteado el cdigo de la versin 2.1.1(en el original de Hugo era el 1.2.2). Podr comprobar que existen cantidad de paquetes precompilados para distribuciones tales como Debian GNU/Linux, OpenSuSE, Fedora, y , si utiliza algunade estas distribuciones,podrdescargarlacon su gestor de paquetes.Compilemosel programa: tar zxvfp sarg-2.1.1.tar.gz cd sarg-2.1.1 ./configure enable-sysconfdir make

make install

Ahora que el programa ha sido compilado he instalado, necesitamos configurarlo para que llegue a funcionar. Hemosseleccionadoen la compilacin el directorio /etc/sarg para almacenar los ficheros de configuracin. Nos situamos en dicho directorio. pwd /etc/sarg ls exclude_codes languages/ sarg.conf

NOTA: Pueden variar los ficheros en funcin de la versin que haya compilado.

Observelos ficherosque se crean. Comonuestrainstalacinva a ser un poco ms compleja, tendremosque crear algnficheroms, y organizarlos ya existentes: # mv sarg.conf default.conf # touch exclude.hosts # touch exclude.strings # touch exclude.users # ls default.conf exclude.hosts exclude.users exclude_codes exclude.strings languages/ Breveexplicacinde los ficherosque hemoscreado.

exclude.host. Aqu,cadalnea tendr un dominio/URLque NO ser mostradoen el informe. Es til cuandopara insertar direcciones,por ejemplo, direccionesde descargasde la Intranet que pasanpor el Squid, pero que no consumenancho de bandade Internet. exclude.strings. Se alguna lnea del fichero de log contiene alguna cadena de este fichero(una cadena por lnea), esta lnea del log, ser ignoradapor el informe.Conesto podrfiltrar lo que desseen el informe. exclude.users.Los usuariosque figurenen este ficherono estarnincludosen el reporte.

Ahora vamos a crear un fichero de configuracin para SARG. Como se dijo anteriormente, este fichero de coniguracin ser para un reporte dirario.Colocaremos esta cofniguracin en el fichero /etc/sarg/sargdia.conf.A continuacinse muestraun ficherode configuracincomentado,para su posterior anlisis #Idioma utilizado, he colocado el ingls aqu, pero estar todo en portugus # language English #Fichero log de Squid. # access_log /var/log/squid/access.log #Titulo de la pgina HTML title Reporte Diario del Proxy # # --- Visual --# # Aqu tenemos algunas variables que pude cambiar # para cambiar el aspecto de los informes font_face Arial header_color darkblue header_bgcolor blanchedalmond header_font_size -1 background_color white

text_color black text_bgcolor beige title_color green # --- Fin parte Visual # # # Directorio Temporal temporary_dir /tmp # # # Directorio dnde se generarn los reportes # Generalmente deben estar dentro del raiz de su webserver output_dir /var/www/html/squid-report/dia # # # Qu criterio de orden para la seccin TOPUSER : USER/CONNECT/BYTES/TIME # Con esto se organizar el reporte de la seccion TOPUSER topuser_sort_field BYTES reverse # # # Criterio de orden para la seccion USER: SITE/CONNECT/BYTES/TIME # Con esto se organizar la seccin de usuarios de mismo modos que el item anterior user_sort_field BYTES reverse # # # Fichero de los usuariso que NO aparecern en el reporte exclude_users /etc/sarg/exclude.users # # # Fichero que contiene los hosts que NO aparecern en el reporte exclude_hosts /etc/sarg/exclude.hosts # # # Formato de fecha (e=dd/mm/yy, u=mm/dd/yy, w=yy/ww) date_format e

# Limite de logs hasta que los antiguos sean eliminados. Cuando existan mas # de N reporte, el ms antiguo es automticamente eliminado. # As(lastlg 0) indicamos que no se debe eliminar nunca. lastlog 0

El fichero de configuracin en s ya explica las configuraciciones que se pueden alterar. An as, existen ms opciones disponibles en el propio SARG. Puede verlas en el fichero de configuracin que hemos dejado en /etc/sarg/default.conf. En relacin al idioma utilizado, he encontrado un error. Pero he encontrado una solucin rpida para ello. Lo que sucedees que an cambiandola variable language, SARGsigue generandolos reportes en Ingls.Si le sucedeesto, haga lo siguiente: # cd /etc/sarg/languages # mv English English.old # ln -s Portuguese English NOTA DEL TRADUCTOR:Nohe observado dicho error en Debian Sarge 3.1 r2 Kernel 2.6.8 con el paquete .deb sarg-2.0.5 ni con el paquetesarg-2.1.1.tar.gz Lo que he hechoaqu es hacer un link simblicodel Ingls al Portugus, para que el programapegueel contenido del archivoPortugusen el Ingls original. Nteseque se ha hechoun backupdel ficheroIngls , recuerde:realice siempre backups Parece que tenemos el idioma configurado. Supongamos que hoy es da 05/02/2003 y que quiere generar un reportecon los usuariosque han pasadoa travsdel proxy. /usr/sbin/sarg -f /etc/sarg/sarg-dia.conf -d 05/02/2003-05/02/2003 Dependiendode la cantidadde accesosa su proxy, y del tamaodel fichero de log, el procesose puededemorar. Cuandotermineesta operacin,accedaal directorio que ha configuradoen la lnea: output_dir /var/www/html/squid-report/dia por medio de su navegador favorito. Ahora debemos configurar crontab para que se genere automticamente el reporte todoslos das a las 01:01de la madrugada. Nota: Varias distribucionesya tienenun contrabdiario configurado. Es decir, que todos los fichero ejecutablesque se encuentren dentro del directorio /etc/cron.daily sern ejecutados a determinada hora, generalmente a las 04:00 de la madrugada.

Si en su distribucin ya existiese ese directorio, cree el ficheo /etc/cron.daily/sarg-dia. En caso de no tenerlo, cree el fichero/usr/local/bin/sarg-dia, con el siguientecontenidoen uno de esos dos archivos: #!/bin/bash HOY=$(date --date "1 day ago" +%d/%m/%Y) /usr/sbin/sarg -f /etc/sarg/sarg-dia.conf -d $HOY-$HOY exit 0

Si en su caso he creado el fichero /usr/local/bin/sargdai, entonces tendr que configurar el crontab para que se ejecuteesta tarea a las 01:01de la madrugada.Aadala siguientelnea al fichero/etc/crontab 01 1 * * * root /usr/local/bin/sarg-dia Y no olvide dar permisosde ejecucinal fichero: # chmod +x /etc/cron.daily/sarg-dia O tambin chmod 700 /usr/local/bin/sarg-dia

NOTADEL TRADUCTOR:He observadoque en OpenSuSE10.0 es necesario reiniciar el demonio cron para que guardelos cambios.En Debianno es necesario, pero recomiendohacerlo: /etc/init.d/crontabrestart Aviso: Los reportes genera muchas pginas, e dependiendo del informe, puede llevar a ocupar un espacio considerable en el disco duro. Sea consciente de esto, Vese como pruebade esto que en el ejemplo propuestode 03 de Febrero,el ficheroaccess.logocupaba103 MB. Nota del Traductor: Recomiendoencarecidamenteutilizar una particin/var separadadel la particin/. Original: HugoCisneros.hugoen devimpuntocompuntobr TraduccionCastellano:AlbertoPermuyalberto punto permuyen gmail punto com