Alterserv

Sarg es un programa que analiza los logs de squid y de los mismo genera reportes, es la más completa y fácil de utilizar para la generación de reportes a partir de las bitácoras de Squid. Permite ver con detalle la actividad de todos los equipos y/o usuarios dentro de la red de área local, que permite saber dónde han estado navegando los usuarios en Internet, a través del análisis del fichero de log "access.log" del famoso proxy Squid.

El poder de esta herramienta es increíble, pudiendo saber qué usuarios accedieron a qué sitios,a qué horas, cuantos bytes han sido descargados, relación de sitios denegados, errores de autenticacion... entre otros.  La flexibilidad que puede obtener con Sarg es muy alta, principalmente para las empresas que quieren tener un control de accesos y ancho de banda de acceso a Internet.



Como en todos los sistemas basados en Debian/Ubuntu sera de la misma manera y misma sintaxis:

apt-get install sarg

Como muchos sabrán sarg no trabaja si no hay logs de squid, específicamente el access.log el cual debe de estar declarado en la configuración de Squid en el archivo: /etc/squid/squid.conf de esta manera:

access_log stdio:/var/log/squid/access.log

Si ya tienes funcionando tu log no hay problema, pero si no después de agregar esta linea de configuración reinicias el servicio de squid, siempre toma en cuenta que para que sarg pueda ser visualizado tiene que tener apache2 instalada previamente en tu equipo.


Como verán a continuación sarg no es muy difícil de configurar, es cuestión de como quieras configurar tus reportes, el unico archivo de configuracion de sar se encuentre en:

/etc/sarg/sarg.conf

Lo pueden editar con su editor de texto preferido, pasemos a la configuracion basica, dentro de este archivo busca el parametro:

access_log: este archivo te permite darle una direccion de archivo de donde se encuentra ubicado el log de squid a analizar:

access_log /var/log/squid/access.log

title: Especifica el titulo que tu quieres que muestre la pagina html de sarg.

title "Reportes de Acceso de Usuario"

output_dir: cuando sea ejecutado sarg, esta directiva te permite decidir donde quieres enviar los reportes de sarg.

output_dir /var/www/sarg

font_size |  header_font_size | title_font_size: Estos parametros te permiten escoger el tamaño de la fuente, fuente de la cabecera y titulo de los reportes de sarg, es a eleccion vuestra si lo quieren cambiar.

font_size 15px
header_font_size 15px
title_font_size 17px

date_format: este parametro nos permite configurar la fecha de tres formas:

Citare (European=dd/mm/yy), u (American=mm/dd/yy), w (Weekly=yy.ww)

date_format e

index: Este parametro nos permite generar un index.html al ejecutar sarg.

index yes

Con estos parametros podreis configurar Sarg sin ningun problema, por lo menos de forma basica, ya que hay sarg posee muchas opciones para que puedas agregar o quitar a los reportes.


La ejecucion de sarg es muy sencilla, solo con ejecutar en consola:

sarg

Obtendras los reportes de Sarg, si lo quieres en una fecha especifica asi:

sarg -d 10/08/2016

Sarg nos ayuda a no complicarnos, con el comando -d, ejemplo:

sudo sarg -d day-n
sudo sarg -d week-n
sudo sarg -d month-n

Siendo n el numero de dia o semana o mes, en este caso en reversa, eso quiere decir que el dia 1 es ayer y 0 es hoy.
Pero para que esto funcione debes agregar todos los logs y en un script requiere un monton de lineas, pero siempre sarg nos ayuda con esta configuracion:

sudo sarg -d day-n -l /var/log/squid3/access.log*
sudo sarg -d week-n -l /var/log/squid3/access.log*
sudo sarg -d month-n -l /var/log/squid3/access.log*

El parametro -l nos permite agregar cuantos logs queramos y mas con el termino *, esto nos hara mucho mas facil la vida, pero esto hara que nuestro archivo de logs se vea algo desordenado, asi que para ordenar nuestros logs le agregaremos:

sudo sarg -d day-n -l /var/log/squid3/access.log* -o /var/www/sarg/dia
sudo sarg -d week-n -l /var/log/squid3/access.log* -o /var/www/sarg/semana
sudo sarg -d month-n -l /var/log/squid3/access.log* -o /var/www/sarg/mes

El parametro -o nos permitira agregarle un destino a dicho log, lo cual resultara muy conveniente, Espero les sea de ayuda, Saludos

(https://cloud.open365.io/sync/f/e2fe47415c/?raw=1)

Buen aporte firecold.

Saludos.

Cita de: luistec en Agosto 10, 2016, 11:19:06 PM
Buen aporte firecold.

Saludos.

Gracias Luis poniendome al dia y empezando nuevamente con Raptor, ya que tengo ratos que no toco un servidor, jajajajajja, Saludos

excelente aporte. agragado a marcador  :-*

Cita de: kenedycruz14 en Septiembre 10, 2016, 07:28:06 PM
excelente aporte. agragado a marcador  :-*

Gracias, por el apoyo, Saludos

Cita de: firecold en Septiembre 10, 2016, 08:18:02 PM
Gracias, por el apoyo, Saludos

Saludos firecold:
  No logro hacer que funcione el sarg de ninguna forma y hago los pasos de tu tutorial, me sale el siguiente error:
root@Raptor:~# sarg
SARG: Unknown option resolve_ip

Y en el explorador 192.168.10.2:82/sarg me sale pagina desconocida ¿que crees que este haciendo mal? ya reinstale el raptor en limpio 2 veces e instale el sarg en limpio y las 2 veces me sale el mismo error. De antemano gracias

Cita de: dahuar en Octubre 24, 2016, 08:54:25 AM
Saludos firecold:
  No logro hacer que funcione el sarg de ninguna forma y hago los pasos de tu tutorial, me sale el siguiente error:
root@Raptor:~# sarg
SARG: Unknown option resolve_ip

Y en el explorador 192.168.10.2:82/sarg me sale pagina desconocida ¿que crees que este haciendo mal? ya reinstale el raptor en limpio 2 veces e instale el sarg en limpio y las 2 veces me sale el mismo error. De antemano gracias

en el caso de este error buscas en en el archivo de configuracion de sarg /etc/sarg/sarg.conf  dicho parametro y lo comentas, con respecto a la vizualizacion de sarg  podemos entrar por teamviewer y revisar, me avisas estare pendiente toda la mañana, Saludos

Cita de: firecold en Octubre 25, 2016, 08:41:10 AM
en el caso de este error buscas en en el archivo de configuracion de sarg /etc/sarg/sarg.conf  dicho parametro y lo comentas, con respecto a la vizualizacion de sarg  podemos entrar por teamviewer y revisar, me avisas estare pendiente toda la mañana, Saludos

Gracias Firecold,
  En sarg.conf aparece esto:
# TAG:  resolve_ip yes/no
#       Convert ip address to dns name
#       sarg -n
resolve_ip

Te envie un privado con los datos del team viewer.

Sigo en las mismas Firecold no logro hacer que funcione el sarg, estoy pendiente para cuando tengas tiempo, te mande en un privado mi correo y telefonos, o bien yo puedo llamarte si me das un numero.    
Saludos,
  David

Cita de: dahuar en Octubre 29, 2016, 01:37:26 PMSigo en las mismas Firecold no logro hacer que funcione el sarg, estoy pendiente para cuando tengas tiempo, te mande en un privado mi correo y telefonos, o bien yo puedo llamarte si me das un numero. Saludos, David

Perdon mi amigo he estado desconectado estos dias, pero el dia de hoy estare libre, me avisas, estare pendiente todo el dia, Saludos

Cita de: firecold en Noviembre 09, 2016, 09:36:52 AMPerdon mi amigo he estado desconectado estos dias, pero el dia de hoy estare libre, me avisas, estare pendiente todo el dia, Saludos

Aqui estoy listo como empezamos? y gracias. Los dato de mi contacto asi como los de Team Veiwer estan en un privado, la clave del Team Veiwer es i2m72u

Cita de: dahuar en Noviembre 09, 2016, 10:30:38 AMAqui estoy listo como empezamos? y gracias. Los dato de mi contacto asi como los de Team Veiwer estan en un privado, la clave del Team Veiwer es i2m72u

mandame el MP aqui ando, Saludos

Cita de: firecold en Noviembre 09, 2016, 09:36:52 AMPerdon mi amigo he estado desconectado estos dias, pero el dia de hoy estare libre, me avisas, estare pendiente todo el dia, Saludos

Gracias Firecold solo que se ver raro el sarg pense que mostraria las ip de mis clientes, a lo mejor soy yo que no lo se usar aun o le falta correr un dia esperare, pero muchas gracias por tu apoyo. te dejo una foto a continuación:
(https://s14.postimg.org/6x5vx24zl/sarg.png)

Cita de: dahuar en Noviembre 09, 2016, 11:38:32 AMGracias Firecold solo que se ver raro el sarg pense que mostraria las ip de mis clientes, a lo mejor soy yo que no lo se usar aun o le falta correr un dia esperare, pero muchas gracias por tu apoyo. te dejo una foto a continuación: (https://s14.postimg.org/6x5vx24zl/sarg.png)

ME avisas amigo para revisar esto, ya que tendria que mostrar las ips, aunque esto tambien depende de tu configuracion de Mk si es en paralelo, Saludos

Cita de: firecold en Noviembre 14, 2016, 10:05:56 AMME avisas amigo para revisar esto, ya que tendria que mostrar las ips, aunque esto tambien depende de tu configuracion de Mk si es en paralelo, Saludos

Cuando quieras la clave de teamviewer es 6m4x6z

Gracias por tu paciencia.

Cita de: dahuar en Noviembre 14, 2016, 01:25:41 PMCuando quieras la clave de teamviewer es 6m4x6z Gracias por tu paciencia.

El problema amigo de alguna manera debe de ser tu configuracion, ya que mira mi log de squid:

http://subefotos.com/ver/?ee48fcffcc3ea5c2975aa8e442828f44o.png

Si te das cuenta, mi log da testimonio de las ips que van ingresando a squid, mientras el tuyo:

http://subefotos.com/ver/?ef27f15ed9d5f62dcb7efe95e884589bo.png

Podras ver que el tuyo nada, muestra el trafico pero no desde que ip, por eso sarg te molesta por esa parte, 
ya que no encuentra lo que necesita, Saludos

Cita de: firecold en Noviembre 14, 2016, 04:08:46 PMEl problema amigo de alguna manera debe de ser tu configuracion, ya que mira mi log de squid:

http://subefotos.com/ver/?ee48fcffcc3ea5c2975aa8e442828f44o.png Si te das cuenta, mi log da testimonio de las ips que van ingresando a squid, mientras el tuyo: 
http://subefotos.com/ver/?ef27f15ed9d5f62dcb7efe95e884589bo.png Podras ver que el tuyo nada, muestra el trafico pero no desde que ip, por eso sarg te molesta por esa parte, ya que no encuentra lo que necesita, Saludos

 

Que me recomiendas para solucionarlo, reinstalar debían con el raptor?

Cita de: dahuar en Noviembre 14, 2016, 05:38:42 PMQue me recomiendas para solucionarlo, reinstalar debían con el raptor?

Como tienes configurada tu seccion de ips en Squid, para ver cual es el problema, Saludos

Cita de: firecold en Noviembre 15, 2016, 11:42:23 AMComo tienes configurada tu seccion de ips en Squid, para ver cual es el problema, Saludos

192.168.71.0 si a esto te refieres

Cita de: dahuar en Noviembre 15, 2016, 02:09:36 PM192.168.71.0 si a esto te refieres

Hablo de como declaras tus ips en Squid por ejemplo en mi squid declara mi ip asi:

acl mired src 192.168.2.0/24

Pero si quiero algo mas concreto:

acl mired src "/etc/squid3/red.lst"

Y dentro de esta pongo las ips que quiero permitir, pero al final no se como lo haces, Saludos

Cita de: firecold en Noviembre 16, 2016, 09:27:35 AMHablo de como declaras tus ips en Squid por ejemplo en mi squid declara mi ip asi:

Código [Seleccionar] Expandir

acl mired src 192.168.2.0/24
Pero si quiero algo mas concreto:

Código [Seleccionar] Expandir

acl mired src "/etc/squid3/red.lst"
Y dentro de esta pongo las ips que quiero permitir, pero al final no se como lo haces, Saludos

Hola Firecold:
  Lo siento no puedo darte esa informacion porque no lo se, me limite a seguir el tutorial de instalación y me funciono.
Saludos,
  David

Cita de: dahuar en Noviembre 16, 2016, 06:56:00 PMHola Firecold: Lo siento no puedo darte esa informacion porque no lo se, me limite a seguir el tutorial de instalación y me funciono. Saludos, David

Que rango de ip's usas amigo, Saludos

Cita de: firecold en Noviembre 20, 2016, 11:35:12 AMQue rango de ip's usas amigo, Saludos

192.168.11.0 wan
192.168.10.0 raptor
192.168.71.0 lan

Buenos días, ¿alguien sabe como puedo corregir los reportes en sarg para que me aparezcan las ip de los usuarios y la lista de sitios? Por lo que leo, casi siempre es instalar, especificar la ruta de los logs y poco mas, pero a mi no me esta andando, parece que no interpreta bien los logs de squid...

Pagina principal (todo bien):

(https://k60.kn3.net/F/5/5/F/A/3/811.png)

Reporte de un día en especifico:

(https://k60.kn3.net/A/2/D/F/A/C/992.png)

Top 100:

(https://k60.kn3.net/3/C/F/5/3/1/308.png)

Sitios y usuarios:

(https://k61.kn3.net/5/0/D/2/C/4/70A.png)

Reporte de /var/log/squid3/access.log

(https://k60.kn3.net/1/4/D/8/A/D/FB2.png)

Como puedes darte cuenta en tus logs, Squid no esta mostrando la ip que esta navegando por esa pagina, en si problema de Sarg no es, ya que sarg es un programa que interpreta los logs y en base a ellos, genera los reportes, aqui un detalle importante, ya que Squid no esta enviando la ip y Sarg en vez de la ip esta cogiendo o tomando el codigo de estado de la pagina en vez de ip, por eso te muestra el reporte de tal manera, esto puede pasar por varias cuestiones:

1. La configuracion de acceso de squid tiene reglas con rangos genericos muy amplios y en estos casos ni se molesta en mostrar la ip de origen.

2. En algunos casos es cuestion de como esta configurado MK, del cual no te podria dar informacion ya que no lo utilizo.

3. En muy raras ocasiones, es cuestion de fallos del propio paquete Squid.


Se que esta respuesta no dara solucion a tu problema, pero te ayudara a dar una luz del problema, Saludos

Gracias Firecold, me guiare por tus sugerencias... por curiosidad, me sorprende que no uses Mikrotik, ¿que usas?

Cita de: Szchmausser en Diciembre 25, 2016, 02:46:53 PM
Gracias Firecold, me guiare por tus sugerencias... por curiosidad, me sorprende que no uses Mikrotik, ¿que usas?

Amigo fijate que yo uso solo Linux, sin Mk, normalmente en Modo Gateway, el detalle es que mis redes son alambricas osea fisicas, pero la mayor parte que usa MK es porque usa redes WIFI o hibridas, y para redes fisicas ni siquiera necesitas MK, Saludos

Cita de: firecold en Diciembre 26, 2016, 10:16:10 AM
Amigo fijate que yo uso solo Linux, sin Mk, normalmente en Modo Gateway, el detalle es que mis redes son alambricas osea fisicas, pero la mayor parte que usa MK es porque usa redes WIFI o hibridas, y para redes fisicas ni siquiera necesitas MK, Saludos

En mi caso se soluciono con cambiar mi configuraccion de acceso de esto;

acl localnet src 10.0.0.0/8     # RFC 1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC 1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC 1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

a esto: 

acl localnet 192.168.2.0/24

Osea solo la que necesito, sin sobrecargas Squid con un monton de rangos de ips, Saludos

disculpa al inicio de tu Tutorial pones el siguiente comando

nano /etc/squid/squid.conf

pero cuando ingreso se me abre una pagina en blanco no deberia ser 

 /etc/squid3/squid.conf

y el codigo a cambiar sigue siendo el mismo ? o tambien debo cambiar en la parte de squid pro squid3 ?

Código: [Seleccionar]
access_log stdio:/var/log/squid/access.log

POR ESTE

Código: [Seleccionar]
access_log stdio:/var/log/squid3/access.log

saludos

Cita de: georg3 en Enero 16, 2017, 01:39:56 AM
disculpa al inicio de tu Tutorial pones el siguiente comando

nano /etc/squid/squid.conf

pero cuando ingreso se me abre una pagina en blanco no deberia ser

/etc/squid3/squid.conf

y el codigo a cambiar sigue siendo el mismo ? o tambien debo cambiar en la parte de squid pro squid3 ?

Código: [Seleccionar]

Código [Seleccionar] Expandir

access_log stdio:/var/log/squid/access.log

POR ESTE

Código: [Seleccionar]

Código [Seleccionar] Expandir

access_log stdio:/var/log/squid3/access.log

saludos

El pequeño detalle amigo es que en Debian me imagino que debe de ser asi, pero en mi caso es diferente uso Ubuntu y como sabras entre distribuciones hay pequeñas diferencias, entre estas la que acabas de mencionar, que es la ubicacion de archivos, disculpa, Saludos

. ..

eh seguido esstos pasos pero cuando le doy al 192.168.10.2/sarg me sale el error de esquid

el sistema ah devuelto: (1119 conecction refused

Cita de: jesger en Enero 22, 2017, 12:57:12 PM
. ..

eh seguido esstos pasos pero cuando le doy al 192.168.10.2/sarg me sale el error de esquid

el sistema ah devuelto: (1119 conecction refused

Todo es cuestion de como configurastes Squid como tambien Sarg nos puedes dar tu configuracion de Sarg y donde estan ubicados los logs de Squid, Saludos

la solucion la encontre reinstalando apache2 y sarg desde 0 lo desintale y volvi a instalar.. 

gracias por su ayuda. 

masbien si me pudieran dar una manito en ete link

http://www.alterserv.com/foros/index.php?topic=2362.0

que ya me sale humo y no logro realizarlo

Cita de: jesger en Enero 24, 2017, 12:25:06 PM
la solucion la encontre reinstalando apache2 y sarg desde 0 lo desintale y volvi a instalar..

gracias por su ayuda.

masbien si me pudieran dar una manito en ete link

http://www.alterserv.com/foros/index.php?topic=2362.0

que ya me sale humo y no logro realizarlo

En la tarde mandame un mensaje, mandandome tus datos de teamviewer, Saludos

en el caso de este error buscas en en el archivo de configuracion de sarg /etc (https://www.fredeo.com)/sarg/sarg.conf  dicho parametro y lo comentas, con respecto a la vizualizacion de sarg  podemos entrar por teamviewer y revisar, me avisas estare pendiente toda la mañana, Saludos

Indispensable advantages that can be realized from the need to find another way to do this anymore, we understand what you want to say.