[RESOLU]Affichage des logs avec Sarg



  • Bonjour à tous,

    Alors voila, j'ai un problème, qui je sais à déjà été répertorié plusieurs fois sur ce forum. J'ai bien utilisé la fonction "Recherche", sans arriver à trouver une solution, la faut probable à mon anglais défaillant, et probablement mon étourderie.

    Je m'explique, j'ai installé le paquet Sarg, via Pfsense, ensuite lorsque je me rend sur la page Sarg Reports pour afficher mes logs, il m'affiche ce message d'erreur :

    Error: Could not find report index file.
    Check and save sarg settings and try to force sarg schedule.
    

    Comme je vous l'ai dit, malgré mes recherche je n'ai pas trouvé de solution.

    Merci par avance à ceux qui me donneront un petit coup de main.

    A+



  • La place du proxy et de l'outil Sarg sur le firewall est très discutable !

    Un autre outil de visualisation de log, qui s'installe bien et fonctionne bien, est LightSquid.



  • Et par ailleurs, si c'est possible, il est hautement préférable d'envoyer les logs vers un serveur externe.



  • Merci pour vos réponses. En cas ou je souhaiterais envoyer les logs sur un autres serveur, comment cela ce met en place ?

    A la place de l'emplacement /var/squid/logs, je met \192.168.0.1/mondossier/ ?

    Quel sont les droits à mettre en place ? Je crée un utilisateur dédié ?

    Et par la suite, est-ce que je pourrai mettre en place Sarg sur le serveur contenant les logs ?

    Merci pour votre aide.



  • Je veux être très clair !
    Mettre le proxy sur le firewall (avec ou sans visu des log, plutôt avec), je le conçois jusqu'à 15 utilisateurs !
    Imaginer le proxy sur le firewall pour plus d'utilisateurs et une visualisation des logs sur une autre machine, est juste inconséquent !

    Par ailleurs, les logs d'un proxy (Squid) n'ont pas du tout la même nature que des logs syslog et ne peuvent être facilement transféré vers une autre machine !



  • A la place de l'emplacement /var/squid/logs, je met \192.168.0.1/mondossier/ ?

    Non, ce n'est pas du Windows ! La logique n'est pas la même. Pas de partage de fichiers ALC, mais une communication entre deux applis. D'une façon général les logs sont gérés par un process Linux spécifique (mais pfsense c'est du BSD !) qui a son fichier de conf.
    Par exemple :

    # Log all the mail messages in one place.
    # mail.info							-/var/log/maillog
    mail.info		@172.16.1.4
    

    La ligne 2 qui commence par # signifie que cette directive est désactivée, sinon les les logs seraient dans /var/log/maillog
    La ligne 3 dit que l'on utilise un syslog distant.
    Je ne développe pas plus, ce n'est pas l'endroit. Et j'ai encore du travail.



  • Non, non, non, les logs de Squid ne passent pas par syslog !

    Et il faut surtout comprendre que la place du proxy n'est pas sur le firewall parce que la charge est différente et peut perturber le firewall …



  • Merci à tous pour vos précisions.

    J'ai encore deux petites questions à vous poser, qui sont plus généralistes.

    Pour moi l'intérêt de squid via Pfsense, c'est l'interface graphique, auriez vous une autre solution pour un proxy (Non transparent + filtrage URL), avec interface graphique ?

    De plus auriez vous une solutions pour ajouter le nom ActiveDirectory de la personne dans les logs ?

    Encore merci pour votre aide.



  • Tiens Active Directory ! Voilà une très très bonne raison (et impérative) pour disposer d'un proxy dédié !

    pfSense fourni, via ces packages, une interface web (et non graphique) de paramétrage.
    Il existe d'autres distributions genre Artica, … qui fournissent de même une interface web.
    Mais, perso, je n'ai utilisé que des fichiers de conf "à la mano".

    A noter qu'il faut un assemblage : Squid + SquidGuard + un visualiseur de log (LightSquid p.e.).
    L'authentification c'est dans Squid mais SquidGuard peut l'utiliser.
    Les blacklist c'est dans SquidGuard.
    Objectivement, une fois la config au point, on y touche plus, on regarde juste les logs ...



  • @jdh:

    Non, non, non, les logs de Squid ne passent pas par syslog !

    Tu fais bien de le préciser, je n'ai pas été clair sur ce point. Ma réponse laisse penser que c'est le cas, ce qui est faux bien sûr. Squid c'est encore autre chose.



  • J'ai effectivement testé Artica, je le trouve "light" sur le filtrage d'url. Après peut être que je n'ai pas su m'y prendre.

    Pour revenir à Pfsense, j'ai aussi testé l'assemblage Squid + SquidGuard + LightSquid, le problème est que je ne veut pas d'authentification, pourtant je souhaite utiliser les noms ActiveDirectory dans les logs.

    Dernière question, qui va peut être vous paraitre bizarre, mais serait-ce envisageable d'utiliser Pfsense comme proxy dédié en oubliant la partie routeur filtrant ? Je conçoit qu'il y est probablement mieux a faire. Mais pour moi l'interface web est indispensable pour le proxy.

    Merci.



  • Dernière question, qui va peut être vous paraitre bizarre, mais serait-ce envisageable d'utiliser Pfsense comme proxy dédié en oubliant la partie routeur filtrant ? Je conçoit qu'il y est probablement mieux a faire.

    Il est envisageable d'utiliser Pfsense comme une appliance dans de multiples situations. Une condition incontournable pour moi : cette appliance ne sera pas le firewall de l'entreprise. Le plus souvent je sépare les rôles des interfaces. Une pour l'administration, une pour le trafic utilisateur. Ce qui me conduit à utiliser les fonctionnalités de filtrage mais pour protéger la machine et segmenter les flux. proxy, vpn, portail captif et autres sont des applications possibles. Cette pratique peut se discuter et demande un peu d'attention. Il m'arrive de l'utiliser en particulier pour le vpn.



  • Très bien merci pour toutes ces informations.


Locked