Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1049 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to traffic (URLs/IPs) einer internen IP loggen

flds
Hallo Zusammen,

ich weiß man hätte die Situation verhindern können, aber nun ist es einfach so und ich muss jetzt handeln. Also ich habe folgendes Problem:

Erstmal die Infos zur Astraro:
ASG320 mit ASG 7.507

Im Netz wird ein Rechner betrieben, der nicht über den HTTP-Proxy der Astaro läuft. Die IP-Adresse und MAC kenn ich. Nun muss ich den von dem Rechner verursachten Traffic loggen (z.B. Ziel-IP, URL Requests, etc.) . 

In den Paketfilterlogs kann ich die IP nicht finden / live sehen. Im Contentfilterlog logischerweise auch nicht. Gehe ich aber unter "Network Security / Erweitert => Verkehrsmonitor", dann kann ich die Verbindungen (Ziel-IPs) des besagten Rechners sehen. Schreibt der Verkehrsmonitor irgendwohin eine Logdatei? Gibt es eine andere / bessere Möglichkeit den Traffic mitzuschneiden?

Für Tipps wäre ich dankbar [:)] und ja ich werde nach der Aktion die Konfig der Astaro ändern, dass unauthentifizierte Rechner / Benutzer nicht mehr surfen dürfen [;)]


This thread was automatically locked due to age.
  • 0
    Ich glaube ich habe mir schon selbst geholfen. Ich habe eine Paketfilterregel erstellt und den besagten Rechner als Quelle eingetragen und logging eingeschaltet. Nun sehe ich die Pakete des Rechners im Log. [:)]

    URLs wären aber noch hilfreich. Hat noch jemand eine Idee?
  • 0
    Da dieser Client nicht über den Proxy läuft, können auch keine URLs mitgeloggt werden. Lediglich die Ziel-IP lässt sich im packetfilter.log finden, die man notfalls via Reverse-Lookup auflösen kann. Falls der Clients jedoch unbedingt überwacht werden sollte ist der HTTP-Proxy die elegantere Variante.
  • 0
    (Please excuse my English.  I can't get my brain to create in German at the moment.  Please respond auf Deutsch.)

    Flds, Buddy is right.  Even if your proxy is in transparent mode, you can point the server's browser at the Astaro and thus the proxy will function for the server as if the proxy were in "Standard" mode.  This means that everything in 'Allowed target services' is handled by the proxy instead of by packet filter rules.  You then can create an Exception for the address of the server, selecting all the boxes; this will allow you to track the traffic without affecting most traffic.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA