sarg e squid su due macchine diverse.

[lupinnicola]

Ho 2 macchine vmware in cui è installato squid+squidguard.

1 di produzione che sta funzionando egregiamente ( in questa per non appesantirla volevo non installare apache2 e sarg)
1 di prova che volevo usare solo quando devo visualizzare i log ho installato anche SARG+apache2 per vedere i log da web

Le mie domande sono:

1-come deve essere impostato il squid.conf riguardo i log leggevo che c'è qualcosa riguardo al rotate.
2-Basta copiare i file access.log da una parte all'altra per generare i report?

[webpatella]

potresti usare:
1 un rsync over ssh per copiarti i file
2 montare la directory /var/log del server in produzione sul server test con samba o nfs

[lupinnicola]

potresti usare:
1 un rsync over ssh per copiarti i file
2 montare la directory /var/log del server in produzione sul server test con samba o nfs

Mi potresti dire come fare col il primo metodo. Io ho OpenSSH installato sul server dove gira squid e squidguard(Uso putty per connettermi ad esempio).

[lucap78]

1-come deve essere impostato il squid.conf riguardo i log leggevo che c'è qualcosa riguardo al rotate.

Il rotate nel squid.conf specifica quanti file deve tenere squid. esempio se lo imposti a 5 allora quando fai ruotare i log (squid -k rotate) ti verranno salvati in automatico i log di squid con estensione .0 .1 .2 .3 .4 .5 (esempio access.log diventa access.log.0).

In genere squid -k rotate viene lanciato da logrotate o in qualche script nei cron.

Puoi disabilitare il rotate impostandolo a 0, in questo caso i log vengono chiusi (cancellati) e riaperti (ricreati) quindo lanci in -k rotate e quindi addio storia

2-Basta copiare i file access.log da una parte all'altra per generare i report?

Si, ti basta copiare access.log da un server all'altro e lanciare sarg, se hai impostato il rotate allora devi copiarti tutti i file access.log.*, riunirli e analizzare il tutto.

Io personalmente faccio ruotare i log 1 volta a settimana, poi 1 volta al mese copio i log su un'altra macchina, li riunisco e mi genero le statistiche mensili.

[webpatella]

http://troy.jdmz.net/rsync/index.html 

[lupinnicola]

1-come deve essere impostato il squid.conf riguardo i log leggevo che c'è qualcosa riguardo al rotate.

Il rotate nel squid.conf specifica quanti file deve tenere squid. esempio se lo imposti a 5 allora quando fai ruotare i log (squid -k rotate) ti verranno salvati in automatico i log di squid con estensione .0 .1 .2 .3 .4 .5 (esempio access.log diventa access.log.0).

In genere squid -k rotate viene lanciato da logrotate o in qualche script nei cron.

Puoi disabilitare il rotate impostandolo a 0, in questo caso i log vengono chiusi (cancellati) e riaperti (ricreati) quindo lanci in -k rotate e quindi addio storia

2-Basta copiare i file access.log da una parte all'altra per generare i report?

Si, ti basta copiare access.log da un server all'altro e lanciare sarg, se hai impostato il rotate allora devi copiarti tutti i file access.log.*, riunirli e analizzare il tutto.

Io personalmente faccio ruotare i log 1 volta a settimana, poi 1 volta al mese copio i log su un'altra macchina, li riunisco e mi genero le statistiche mensili.

Se io non faccio girare i log cosa succede?
La mia riga logfile_rotate  = 0 è remmata.


Per copiare i file uso winscp mi li sposto sulla mia macchina win e poi li riporto sulla macchina di test.
Poi eseguo Sguard

Tutto mi sta funzionando correttamente se la riga è remmata io tengo tutti i log?

[lucap78]

Se io non faccio girare i log cosa succede?
La mia riga logfile_rotate  = 0 è remmata.


Per copiare i file uso winscp mi li sposto sulla mia macchina win e poi li riporto sulla macchina di test.
Poi eseguo Sguard

Tutto mi sta funzionando correttamente se la riga è remmata io tengo tutti i log?

Se la riga è commentata prende il default (credo 10).

Per provare puoi eseguire un squid -k rotate e vedere se ti salva il log con log.0

Se non fai girare il log ti si genera un file abnorme, quindi ci metti una vita ad elaborarlo e gestirlo, ti consiglio di far girare il log alemno 1 volta al mese....

[lupinnicola]

Allora riprendo questo argomento perchè l'avevo un pò tralasciato.

Voglio mantenere i log di un mese con il rotate settimanale:


Attualmente ho il file del nome squid  file sulla cartella etc/logrotate.d

/var/log/squid/*.log {
       daily
       compress
       delaycompress
       rotate 2
       missingok
       nocreate
       sharedscripts
       prerotate
               test ! -x /usr/sbin/sarg-reports || /usr/sbin/sarg-reports
       endscript
       postrotate
               test ! -e /var/run/squid.pid || /usr/sbin/squid -k rotate
       endscript
}

per cambiarlo in settimale e tenere cinque settimane è necessario solamente mettere weekly al posto di daily e rotate 5?
nel file squid.conf va messo logfile_rotate = 5?

[lupinnicola]

/var/log/squid/*.log {
        weekly
        compress
        delaycompress
        rotate 5
        missingok
        nocreate
        sharedscripts
        prerotate
                test ! -x /usr/sbin/sarg-reports || /usr/sbin/sarg-reports
        endscript
        postrotate
                test ! -e /var/run/squid.pid || /usr/sbin/squid -k rotate
        endscript
}

Io l'ho cambiato in questo modo.
Ma mi pare abbia fatto un logrotate in più?

Qualcuno mi può spiegare filo e per segno cosa fa questo script?

[lucap78]

/var/log/squid/*.log {

E' il log che deve girare

        weekly

Lo fà una volta a settimana

        compress

comprime il file di log salvato

        delaycompress

non mi ricordo

        rotate 5

tiene gli ultimi 5 log

        missingok

Se il file non esiste non dà l'errore

        nocreate

non ricrea il file di log dopo averlo spostato.

        sharedscripts

non ricordo

        prerotate
                test ! -x /usr/sbin/sarg-reports || /usr/sbin/sarg-reports
        endscript

prima di muovere il file di log esegue il comando

        postrotate
                test ! -e /var/run/squid.pid || /usr/sbin/squid -k rotate
        endscript
}

dopo aver salvato il log esegue questo comando.

Controlla che nello script sarg-reports con ci sia un rotate in più.

Poi credo che, visto che il salvataggio del log te lo fà logrotate, devi disabilitarlo in squid impostando il logfile_rotate = 0.