Witam Interfejs eth1 jest lanem. Logi czytamy za pomocą tcpdump i np grep-em np: tcpdump -qn -r tcpdump03_09_08.log
gdzie tcpdump03_09_08.log to plik z logami Jak chcesz zobaczyć kto np łączył się z adresem IP 209.85.135.91 to wpisujesz: tcpdump -qn -r tcpdump03_09_08.log | grep 209.85.135.91 reading from file tcpdump03_09_08.log, link-type EN10MB (Ethernet) 22:48:58.280357 IP 192.168.1.132.47246 > 209.85.135.91.80: tcp 0 22:48:58.303926 IP 209.85.135.91.80 > 192.168.1.132.47246: tcp 0 22:55:41.353900 IP 192.168.1.132.43929 > 209.85.135.91.80: tcp 0 22:55:41.377525 IP 209.85.135.91.80 > 192.168.1.132.43929: tcp 0 23:14:28.045101 IP 192.168.1.132.40280 > 209.85.135.91.80: tcp 0 23:14:28.068373 IP 209.85.135.91.80 > 192.168.1.132.40280: tcp 0 23:25:40.548066 IP 192.168.1.132.37706 > 209.85.135.91.80: tcp 0 23:25:40.571089 IP 209.85.135.91.80 > 192.168.1.132.37706: tcp 0 23:58:17.741061 IP 192.168.1.132.40134 > 209.85.135.91.80: tcp 0 23:58:17.764264 IP 209.85.135.91.80 > 192.168.1.132.40134: tcp 0 00:33:10.769447 IP 192.168.1.132.42234 > 209.85.135.91.80: tcp 0 00:33:10.792234 IP 209.85.135.91.80 > 192.168.1.132.42234: tcp 0 01:03:10.803510 IP 192.168.1.132.44284 > 209.85.135.91.80: tcp 0 01:03:10.825870 IP 209.85.135.91.80 > 192.168.1.132.44284: tcp 0 01:33:10.840684 IP 192.168.1.132.44685 > 209.85.135.91.80: tcp 0 01:33:10.862894 IP 209.85.135.91.80 > 192.168.1.132.44685: tcp 0 01:54:35.573716 IP 192.168.1.132.52704 > 209.85.135.91.80: tcp 0 01:54:35.597684 IP 209.85.135.91.80 > 192.168.1.132.52704: tcp 0 02:15:23.343273 IP 192.168.1.132.35775 > 209.85.135.91.80: tcp 0 02:15:23.365705 IP 209.85.135.91.80 > 192.168.1.132.35775: tcp 0 W tym przypadku jest to lokalny adres 192.168.1.132, godzinę masz w pierwszej kolumnie a nr portu jest dopisany po kropce do adresu IP (209.85.135.91.80) to chyba powinno zadowolić organy ścigania :) Pozdrawiam On Tue, 07 Oct 2008 08:25:36 +0200 Dariusz Michałek <[EMAIL PROTECTED]> wrote: > Tak wałsnie o to mi chodzi. Dwa pytania eth1 to lan czy wan?, drugie > jakim programem analizować przydład . > > pozdrawiam > > Maciej Chromik pisze: > > Domyślam się że chodzi ci o logowanie ruchu dla organów ścigania w > > przypadku gdy udostępniasz internet poprzez natowanie adresów IP. Ja do > > tego celu używam takiego oto skryptu (napisałem go do swoich celów nie jest > > w nim postawiony nacisk na przenośność) > > > > > > #!/bin/bash > > > > killall tcpdump > > > > sleep 3 > > echo "działam" > > > > > > > > > > katalog=`date '+%m%y'` > > if [ ! -d "/home/LOGOWANIE_RUCHU/tcpdump/$katalog" ] > > then > > echo "nie ma katalogu więc go tworzę" > > mkdir /home/LOGOWANIE_RUCHU/tcpdump/$katalog > > fi > > > > nazwaPliku=tcpdump`date '+%d'`_`date '+%m'`_`date '+%y'`.log > > tcpdump -w /home/LOGOWANIE_RUCHU/tcpdump/$katalog/$nazwaPliku -qni eth1 > > 'tcp[tcpflags] & (tcp-syn) != 0' & > > > > > > Skrypt co miesiąc tworzy nowy katalog. > > Skrypt generuje codziennie nowy plik z logami programu tcpdump (plik jest w > > formacie czyelnym dla wszystkich dobrych programów do analizowania sieci). > > W zapisanych logach znajduje się pakiet nawiącujący połączenie tcp i pakiet > > potwierdzający nawiązanie połączenia tcp co skutkuje bardzo niewielkimi > > rozmarami plików z logami jakieś 400MB na dobę z sieci 500 użytkowników. > > > > Pozdrawiam > > > > On Mon, 6 Oct 2008 09:45:43 +0200 > > "Mariusz Sielicki" <[EMAIL PROTECTED]> wrote: > > > > > >> W dniu 6 października 2008 08:15 użytkownik Dariusz Michałek > >> <[EMAIL PROTECTED]> napisał: > >> > >>> Witam! > >>> > >>> Jak rozwiązujecie problem logowania połączeń ? > >>> > >> A co dokladniej chcesz logowac? > >> Polaczenia na poziomie pakietow? (iptables -j LOG ?) > >> Polaczenia na poziomie jakiejs konkretnej aplikacji? > >> > >> Pozdrawiam > >> Mariusz Sielicki > >> > >> > >> > >>> pozdrawiam > >>> > >>> > >>> -- > >>> To UNSUBSCRIBE, email to [EMAIL PROTECTED] > >>> with a subject of "unsubscribe". Trouble? Contact > >>> [EMAIL PROTECTED] > >>> > >>> > >>> > > > > > > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- ---------------------------------------------------------------------- Dodaj strone www do katalogu. Pokaz ze istniejesz! Sprawdz jak >> http://link.interia.pl/f1f2a -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
