- ベストアンサー
access.log
squidのaccess.logでは、接続端末のホストネームやmcアドレスが判りません。access.log以外で、接続端末の詳細を知る方法はあるのでしょうか?スニーファーを導入しないと、この情報は得ることは無理なのでしょうか?
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは、お困りですね。 さてご質問の件ですが、私の所でも最近squidを導入しました。ログを見ていますと、確かにMACアドレス等は残りませんね。 職場でルーター越えの環境で動かしていますが、パケットをキャプチャーしますと、arpキャッシュの内容も見ることができますので、パケットのキャプチャリングソフトを使えばご希望のことが可能ですよ。後はキャプチャーする時にうまくデーターをフィルタリングしますと、膨大なログの内容から目的のものを探し出すことができるようです。
その他の回答 (1)
知りたい詳細情報というのは ・相手のMACアドレス ・ホスト名(FQDN) ということでいいですか? #MACとホスト名がわかってもあまり有益な情報とは思えませんが...。 #といってもsquidのログではブラウザのバージョン等は収集してなかったはずですね。 まずホスト名というのがDNSのホスト名ということであれば、 IPアドレスがわかっていれば逆引きで見られますね。 ただし、相手ホストがDNSに登録している場合だけですが。 http://www8.big.or.jp/~000/CyberSyndrome/nslookup.html MACアドレスはEthnernet環境なら大丈夫ですが、 ADSL(PPP)などレイヤ2が変わる環境の場合は無理かも。 ただ、Ethernetの場合もルータを越える場合、プロキシ側でとるのは厳しいかな。 自信ないですが、 パケットアナライザ(スニファー等)をしかけて httpの内容をひろったらブラウザのバージョン等はでてくるかもしれませんが、 通常TCPヘッダのみとかしか拾わないと思うので 全パケットを拾うのは厳しいのでは?
お礼
アドバイス有難うございます。 イーサーネットなのですが、routerを越える環境です。 最近の不正ユーザは侵奪になってきて、その対応に頭を悩ませています。 ちょっと前までは”無知な確信犯”がはびこってたのに・・・ スニファー等の導入を考えてみます。 有難うございました。