Proxy-Log mit Client-Source IP

german

#1

Hallo,

ich habe auf meinem Proxy einige “verdächtige” Zugriffe von Webseiten. Ich möchte nun gerne wissen, von welchem Client das ganze kommt. Im moment wird aber nur 127.0.0.1 angezeigt.

1472550804.965 93 127.0.0.1 TCP_MISS/200 0 CONNECT clientlog.portal.office.com:443 - DIRECT/94.245.88.28 - 1472550805.102 24403 127.0.0.1 TCP_MISS/200 10791 CONNECT clientlog.portal.office.com:443 - DIRECT/94.245.88.28 - 1472550805.103 17669 127.0.0.1 TCP_MISS/200 13180 CONNECT portal.office.com:443 - DIRECT/13.107.6.156 - 1472550896.221 120391 127.0.0.1 TCP_MISS/200 3085 CONNECT dub406-m.hotmail.com:443 - DIRECT/157.56.194.23 -

Wie kann ich das ganze konfigurieren, damit ich die Client-IP im Log sehe?

Habe die local.conf schon um folgende Werte erweitert, aber leider ohne Erfolg

log_ip_on_direct on log_fqdn off client_netmask 255.255.255.255

Außerdem wäre es hilfreich, wenn ich die “richtige” Uhrzeit angezeigt bekäme, wenn das möglich ist. Dazu habe ich gefunden, das man an die Variabel access_log den Paramter common dran höngen soll. Diese Variabel wird aber durch die UCs-Templates erzeugt. Wie kann ich daher diesen Wert beeinflusse?


#2

Moin,

vermutlich verwenden Sie Squid zusammen mit DansGuardian für Content-Filterung. In so einer Konstellation lauscht DansGuardian auf Port 3128, Squid selber auf 3129. Der Request eines Webbrowsers landet zuerst bei DansGuardian, welcher dann wiederum den Squid auf localhost anfragt. Daher sehen Sie in den Squid-Logs nur Zugriffe von localhost.

Sie sollten statt dessen mal einen Blick in die Logs von DansGuardian werfen (»/var/log/dansguardian«).

Welcher Service genau auf Port 3128 lauscht, können Sie übrigens wie folgt feststellen:

lsof -PniTCP:3128 -sTCP:LISTEN

Gruß,
mosu