¿Que es Sarg?
Sarg es un programa que analiza los logs de squid y de los mismo genera reportes, es la más completa y fácil de utilizar para la generación de reportes a partir de las bitácoras de Squid. Permite ver con detalle la actividad de todos los equipos y/o usuarios dentro de la red de área local, que permite saber dónde han estado navegando los usuarios en Internet, a través del análisis del fichero de log "access.log" del famoso proxy Squid.
El poder de esta herramienta es increíble, pudiendo saber qué usuarios accedieron a qué sitios,a qué horas, cuantos bytes han sido descargados, relación de sitios denegados, errores de autenticacion... entre otros. La flexibilidad que puede obtener con Sarg es muy alta, principalmente para las empresas que quieren tener un control de accesos y ancho de banda de acceso a Internet.
Instalación de Sarg
Como en todos los sistemas basados en Debian/Ubuntu sera de la misma manera y misma sintaxis:
apt-get install sarg
Como muchos sabrán sarg no trabaja si no hay logs de squid, específicamente el
access.log el cual debe de estar declarado en la configuración de Squid en el archivo:
/etc/squid/squid.conf de esta manera:
access_log stdio:/var/log/squid/access.log
Si ya tienes funcionando tu log no hay problema, pero si no después de agregar esta linea de configuración reinicias el servicio de squid, siempre toma en cuenta que para que sarg pueda ser visualizado tiene que tener
apache2 instalada previamente en tu equipo.
Configuracion de Sarg
Como verán a continuación sarg no es muy difícil de configurar, es cuestión de como quieras configurar tus reportes, el unico archivo de configuracion de sar se encuentre en:
/etc/sarg/sarg.conf
Lo pueden editar con su editor de texto preferido, pasemos a la configuracion basica, dentro de este archivo busca el parametro:
access_log: este archivo te permite darle una direccion de archivo de donde se encuentra ubicado el log de squid a analizar:
access_log /var/log/squid/access.log
title: Especifica el titulo que tu quieres que muestre la pagina html de sarg.
title "Reportes de Acceso de Usuario"
output_dir: cuando sea ejecutado sarg, esta directiva te permite decidir donde quieres enviar los reportes de sarg.
output_dir /var/www/sarg
font_size | header_font_size | title_font_size: Estos parametros te permiten escoger el tamaño de la fuente, fuente de la cabecera y titulo de los reportes de sarg, es a eleccion vuestra si lo quieren cambiar.
font_size 15px
header_font_size 15px
title_font_size 17px
date_format: este parametro nos permite configurar la fecha de tres formas:
Citare (European=dd/mm/yy), u (American=mm/dd/yy), w (Weekly=yy.ww)
date_format e
index: Este parametro nos permite generar un index.html al ejecutar sarg.
index yes
Con estos parametros podreis configurar Sarg sin ningun problema, por lo menos de forma basica, ya que hay sarg posee muchas opciones para que puedas agregar o quitar a los reportes.
Ejecucion de Sarg
La ejecucion de sarg es muy sencilla, solo con ejecutar en consola:
sarg
Obtendras los reportes de Sarg, si lo quieres en una fecha especifica asi:
sarg -d 10/08/2016
Sarg nos ayuda a no complicarnos, con el comando
-d, ejemplo:
sudo sarg -d day-n
sudo sarg -d week-n
sudo sarg -d month-n
Siendo
n el numero de dia o semana o mes, en este caso en reversa, eso quiere decir que el dia 1 es ayer y 0 es hoy.
Pero para que esto funcione debes agregar todos los logs y en un script requiere un monton de lineas, pero siempre sarg nos ayuda con esta configuracion:
sudo sarg -d day-n -l /var/log/squid3/access.log*
sudo sarg -d week-n -l /var/log/squid3/access.log*
sudo sarg -d month-n -l /var/log/squid3/access.log*
El parametro
-l nos permite agregar cuantos logs queramos y mas con el termino *, esto nos hara mucho mas facil la vida, pero esto hara que nuestro archivo de logs se vea algo desordenado, asi que para ordenar nuestros logs le agregaremos:
sudo sarg -d day-n -l /var/log/squid3/access.log* -o /var/www/sarg/dia
sudo sarg -d week-n -l /var/log/squid3/access.log* -o /var/www/sarg/semana
sudo sarg -d month-n -l /var/log/squid3/access.log* -o /var/www/sarg/mes
El parametro
-o nos permitira agregarle un destino a dicho log, lo cual resultara muy conveniente, Espero les sea de ayuda, Saludos
(https://cloud.open365.io/sync/f/e2fe47415c/?raw=1)
Buen aporte firecold.
Saludos.
Cita de: luistec en Agosto 10, 2016, 11:19:06 PM
Buen aporte firecold.
Saludos.
Gracias Luis poniendome al dia y empezando nuevamente con Raptor, ya que tengo ratos que no toco un servidor, jajajajajja, Saludos
excelente aporte. agragado a marcador :-*
Cita de: kenedycruz14 en Septiembre 10, 2016, 07:28:06 PM
excelente aporte. agragado a marcador :-*
Gracias, por el apoyo, Saludos
Cita de: firecold en Septiembre 10, 2016, 08:18:02 PM
Gracias, por el apoyo, Saludos
Saludos firecold:
No logro hacer que funcione el sarg de ninguna forma y hago los pasos de tu tutorial, me sale el siguiente error:
root@Raptor:~# sarg
SARG: Unknown option resolve_ip
Y en el explorador 192.168.10.2:82/sarg me sale pagina desconocida ¿que crees que este haciendo mal? ya reinstale el raptor en limpio 2 veces e instale el sarg en limpio y las 2 veces me sale el mismo error. De antemano gracias
Cita de: dahuar en Octubre 24, 2016, 08:54:25 AM
Saludos firecold:
No logro hacer que funcione el sarg de ninguna forma y hago los pasos de tu tutorial, me sale el siguiente error:
root@Raptor:~# sarg
SARG: Unknown option resolve_ip
Y en el explorador 192.168.10.2:82/sarg me sale pagina desconocida ¿que crees que este haciendo mal? ya reinstale el raptor en limpio 2 veces e instale el sarg en limpio y las 2 veces me sale el mismo error. De antemano gracias
en el caso de este error buscas en en el archivo de configuracion de sarg /etc/sarg/sarg.conf dicho parametro y lo comentas, con respecto a la vizualizacion de sarg podemos entrar por teamviewer y revisar, me avisas estare pendiente toda la mañana, Saludos
Cita de: firecold en Octubre 25, 2016, 08:41:10 AM
en el caso de este error buscas en en el archivo de configuracion de sarg /etc/sarg/sarg.conf dicho parametro y lo comentas, con respecto a la vizualizacion de sarg podemos entrar por teamviewer y revisar, me avisas estare pendiente toda la mañana, Saludos
Gracias Firecold,
En sarg.conf aparece esto:
# TAG: resolve_ip yes/no
# Convert ip address to dns name
# sarg -n
resolve_ip
Te envie un privado con los datos del team viewer.
Sigo en las mismas Firecold no logro hacer que funcione el sarg, estoy pendiente para cuando tengas tiempo, te mande en un privado mi correo y telefonos, o bien yo puedo llamarte si me das un numero.
Saludos,
David
Cita de: dahuar en Octubre 29, 2016, 01:37:26 PMSigo en las mismas Firecold no logro hacer que funcione el sarg, estoy pendiente para cuando tengas tiempo, te mande en un privado mi correo y telefonos, o bien yo puedo llamarte si me das un numero. Saludos, David
Perdon mi amigo he estado desconectado estos dias, pero el dia de hoy estare libre, me avisas, estare pendiente todo el dia, Saludos
Cita de: firecold en Noviembre 09, 2016, 09:36:52 AMPerdon mi amigo he estado desconectado estos dias, pero el dia de hoy estare libre, me avisas, estare pendiente todo el dia, Saludos
Aqui estoy listo como empezamos? y gracias. Los dato de mi contacto asi como los de Team Veiwer estan en un privado, la clave del Team Veiwer es i2m72u
Cita de: dahuar en Noviembre 09, 2016, 10:30:38 AMAqui estoy listo como empezamos? y gracias. Los dato de mi contacto asi como los de Team Veiwer estan en un privado, la clave del Team Veiwer es i2m72u
mandame el MP aqui ando, Saludos
Cita de: firecold en Noviembre 09, 2016, 09:36:52 AMPerdon mi amigo he estado desconectado estos dias, pero el dia de hoy estare libre, me avisas, estare pendiente todo el dia, Saludos
Gracias Firecold solo que se ver raro el sarg pense que mostraria las ip de mis clientes, a lo mejor soy yo que no lo se usar aun o le falta correr un dia esperare, pero muchas gracias por tu apoyo. te dejo una foto a continuación:
(https://s14.postimg.org/6x5vx24zl/sarg.png)
Cita de: dahuar en Noviembre 09, 2016, 11:38:32 AMGracias Firecold solo que se ver raro el sarg pense que mostraria las ip de mis clientes, a lo mejor soy yo que no lo se usar aun o le falta correr un dia esperare, pero muchas gracias por tu apoyo. te dejo una foto a continuación: (https://s14.postimg.org/6x5vx24zl/sarg.png)
ME avisas amigo para revisar esto, ya que tendria que mostrar las ips, aunque esto tambien depende de tu configuracion de Mk si es en paralelo, Saludos
Cita de: firecold en Noviembre 14, 2016, 10:05:56 AMME avisas amigo para revisar esto, ya que tendria que mostrar las ips, aunque esto tambien depende de tu configuracion de Mk si es en paralelo, Saludos
Cuando quieras la clave de teamviewer es 6m4x6z
Gracias por tu paciencia.
Cita de: dahuar en Noviembre 14, 2016, 01:25:41 PMCuando quieras la clave de teamviewer es 6m4x6z Gracias por tu paciencia.
El problema amigo de alguna manera debe de ser tu configuracion, ya que mira mi log de squid:
http://subefotos.com/ver/?ee48fcffcc3ea5c2975aa8e442828f44o.png
Si te das cuenta, mi log da testimonio de las ips que van ingresando a squid, mientras el tuyo:
http://subefotos.com/ver/?ef27f15ed9d5f62dcb7efe95e884589bo.png
Podras ver que el tuyo nada, muestra el trafico pero no desde que ip, por eso sarg te molesta por esa parte,
ya que no encuentra lo que necesita, Saludos
Cita de: firecold en Noviembre 14, 2016, 04:08:46 PMEl problema amigo de alguna manera debe de ser tu configuracion, ya que mira mi log de squid: http://subefotos.com/ver/?ee48fcffcc3ea5c2975aa8e442828f44o.png Si te das cuenta, mi log da testimonio de las ips que van ingresando a squid, mientras el tuyo: http://subefotos.com/ver/?ef27f15ed9d5f62dcb7efe95e884589bo.png Podras ver que el tuyo nada, muestra el trafico pero no desde que ip, por eso sarg te molesta por esa parte, ya que no encuentra lo que necesita, Saludos
Que me recomiendas para solucionarlo, reinstalar debían con el raptor?
Cita de: dahuar en Noviembre 14, 2016, 05:38:42 PMQue me recomiendas para solucionarlo, reinstalar debían con el raptor?
Como tienes configurada tu seccion de ips en Squid, para ver cual es el problema, Saludos
Cita de: firecold en Noviembre 15, 2016, 11:42:23 AMComo tienes configurada tu seccion de ips en Squid, para ver cual es el problema, Saludos
192.168.71.0 si a esto te refieres
Cita de: dahuar en Noviembre 15, 2016, 02:09:36 PM192.168.71.0 si a esto te refieres
Hablo de como declaras tus ips en Squid por ejemplo en mi squid declara mi ip asi:
acl mired src 192.168.2.0/24
Pero si quiero algo mas concreto:
acl mired src "/etc/squid3/red.lst"
Y dentro de esta pongo las ips que quiero permitir, pero al final no se como lo haces, Saludos
Cita de: firecold en Noviembre 16, 2016, 09:27:35 AMHablo de como declaras tus ips en Squid por ejemplo en mi squid declara mi ip asi: acl mired src 192.168.2.0/24
Pero si quiero algo mas concreto: acl mired src "/etc/squid3/red.lst"
Y dentro de esta pongo las ips que quiero permitir, pero al final no se como lo haces, Saludos
Hola Firecold:
Lo siento no puedo darte esa informacion porque no lo se, me limite a seguir el tutorial de instalación y me funciono.
Saludos,
David
Cita de: dahuar en Noviembre 16, 2016, 06:56:00 PMHola Firecold: Lo siento no puedo darte esa informacion porque no lo se, me limite a seguir el tutorial de instalación y me funciono. Saludos, David
Que rango de ip's usas amigo, Saludos
Cita de: firecold en Noviembre 20, 2016, 11:35:12 AMQue rango de ip's usas amigo, Saludos
192.168.11.0 wan
192.168.10.0 raptor
192.168.71.0 lan
Buenos días, ¿alguien sabe como puedo corregir los reportes en sarg para que me aparezcan las ip de los usuarios y la lista de sitios? Por lo que leo, casi siempre es instalar, especificar la ruta de los logs y poco mas, pero a mi no me esta andando, parece que no interpreta bien los logs de squid...
Pagina principal (todo bien):
(https://k60.kn3.net/F/5/5/F/A/3/811.png)
Reporte de un día en especifico:
(https://k60.kn3.net/A/2/D/F/A/C/992.png)
Top 100:
(https://k60.kn3.net/3/C/F/5/3/1/308.png)
Sitios y usuarios:
(https://k61.kn3.net/5/0/D/2/C/4/70A.png)
Reporte de /var/log/squid3/access.log
(https://k60.kn3.net/1/4/D/8/A/D/FB2.png)
Como puedes darte cuenta en tus logs, Squid no esta mostrando la ip que esta navegando por esa pagina, en si problema de Sarg no es, ya que sarg es un programa que interpreta los logs y en base a ellos, genera los reportes, aqui un detalle importante, ya que Squid no esta enviando la ip y Sarg en vez de la ip esta cogiendo o tomando el codigo de estado de la pagina en vez de ip, por eso te muestra el reporte de tal manera, esto puede pasar por varias cuestiones:
1. La configuracion de acceso de squid tiene reglas con rangos genericos muy amplios y en estos casos ni se molesta en mostrar la ip de origen.
2. En algunos casos es cuestion de como esta configurado MK, del cual no te podria dar informacion ya que no lo utilizo.
3. En muy raras ocasiones, es cuestion de fallos del propio paquete Squid.
Se que esta respuesta no dara solucion a tu problema, pero te ayudara a dar una luz del problema, Saludos
Gracias Firecold, me guiare por tus sugerencias... por curiosidad, me sorprende que no uses Mikrotik, ¿que usas?
Cita de: Szchmausser en Diciembre 25, 2016, 02:46:53 PM
Gracias Firecold, me guiare por tus sugerencias... por curiosidad, me sorprende que no uses Mikrotik, ¿que usas?
Amigo fijate que yo uso solo Linux, sin Mk, normalmente en Modo Gateway, el detalle es que mis redes son alambricas osea fisicas, pero la mayor parte que usa MK es porque usa redes WIFI o hibridas, y para redes fisicas ni siquiera necesitas MK, Saludos
Cita de: firecold en Diciembre 26, 2016, 10:16:10 AM
Amigo fijate que yo uso solo Linux, sin Mk, normalmente en Modo Gateway, el detalle es que mis redes son alambricas osea fisicas, pero la mayor parte que usa MK es porque usa redes WIFI o hibridas, y para redes fisicas ni siquiera necesitas MK, Saludos
En mi caso se soluciono con cambiar mi configuraccion de acceso de esto;
acl localnet src 10.0.0.0/8 # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC 1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC 1918 possible internal network
acl localnet src fc00::/7 # RFC 4193 local private network range
acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
a esto:
acl localnet 192.168.2.0/24
Osea solo la que necesito, sin sobrecargas Squid con un monton de rangos de ips, Saludos
disculpa al inicio de tu Tutorial pones el siguiente comando
nano /etc/squid/squid.conf
pero cuando ingreso se me abre una pagina en blanco no deberia ser
/etc/squid3/squid.conf
y el codigo a cambiar sigue siendo el mismo ? o tambien debo cambiar en la parte de squid pro squid3 ?
Código: [Seleccionar]
access_log stdio:/var/log/squid/access.log
POR ESTE
Código: [Seleccionar]
access_log stdio:/var/log/squid3/access.log
saludos
Cita de: georg3 en Enero 16, 2017, 01:39:56 AM
disculpa al inicio de tu Tutorial pones el siguiente comando
nano /etc/squid/squid.conf
pero cuando ingreso se me abre una pagina en blanco no deberia ser
/etc/squid3/squid.conf
y el codigo a cambiar sigue siendo el mismo ? o tambien debo cambiar en la parte de squid pro squid3 ?
Código: [Seleccionar]
access_log stdio:/var/log/squid/access.log
POR ESTE
Código: [Seleccionar]
access_log stdio:/var/log/squid3/access.log
saludos
El pequeño detalle amigo es que en Debian me imagino que debe de ser asi, pero en mi caso es diferente uso Ubuntu y como sabras entre distribuciones hay pequeñas diferencias, entre estas la que acabas de mencionar, que es la ubicacion de archivos, disculpa, Saludos
. ..
eh seguido esstos pasos pero cuando le doy al 192.168.10.2/sarg me sale el error de esquid
el sistema ah devuelto: (1119 conecction refused
Cita de: jesger en Enero 22, 2017, 12:57:12 PM
. ..
eh seguido esstos pasos pero cuando le doy al 192.168.10.2/sarg me sale el error de esquid
el sistema ah devuelto: (1119 conecction refused
Todo es cuestion de como configurastes Squid como tambien Sarg nos puedes dar tu configuracion de Sarg y donde estan ubicados los logs de Squid, Saludos
la solucion la encontre reinstalando apache2 y sarg desde 0 lo desintale y volvi a instalar..
gracias por su ayuda.
masbien si me pudieran dar una manito en ete link
http://www.alterserv.com/foros/index.php?topic=2362.0
que ya me sale humo y no logro realizarlo
Cita de: jesger en Enero 24, 2017, 12:25:06 PM
la solucion la encontre reinstalando apache2 y sarg desde 0 lo desintale y volvi a instalar..
gracias por su ayuda.
masbien si me pudieran dar una manito en ete link
http://www.alterserv.com/foros/index.php?topic=2362.0
que ya me sale humo y no logro realizarlo
En la tarde mandame un mensaje, mandandome tus datos de teamviewer, Saludos
en el caso de este error buscas en en el archivo de configuracion de sarg /etc (https://www.fredeo.com)/sarg/sarg.conf dicho parametro y lo comentas, con respecto a la vizualizacion de sarg podemos entrar por teamviewer y revisar, me avisas estare pendiente toda la mañana, Saludos
Indispensable advantages that can be realized from the need to find another way to do this anymore, we understand what you want to say. |