Логування у проксі Squid

[Toshik]

Питання досить просте: як заставити squid у файл логу access.log писати не лише адресу сторінки і шлях доступу до файлу, а й параметри, що були передані цьому файлу. Тобто, щоб запит на сторінку http://linux.org.ua/cgi-bin/yabb/YaBB.pl?board=tech-admin;action=post

Виглядав в файлі логу саме так, а не ось так
http://linux.org.ua/cgi-bin/yabb/YaBB.pl?

[Володимир Лісівка]

Відрубання параметрів, які передаються скриптам зроблено для збереження приватної інформації користувачів, наприклад паролів чи номерів кредиток, чи якихось текстів, які передаються через GET.

[Toshik]

Тобто ці параметри отримати не можна?  А якщо перед тобою стоїть така ситуація: ти адмініструєш проксі і деколи переглядаєш логи, припустимо, заборонено ходити на певні сайти (припустимо, порнографічного характеру), але, як відомо, якщо взяти деякий веб-анонімайзер (наприклад, http://anonymous.ws), то адреса сторінки там передається як параметр і отримуємо ситуацію, що похід на заборонені сайти можна здійснювати через анонімайзер  . Я надіюсь, що не дуже намудрив.

[Володимир Лісівка]

Тобто ці параметри отримати не можна?  А якщо перед тобою стоїть така ситуація: ти адмініструєш проксі і деколи переглядаєш логи, припустимо, заборонено ходити на певні сайти (припустимо, порнографічного характеру), але, як відомо, якщо взяти деякий веб-анонімайзер (наприклад, http://anonymous.ws), то адреса сторінки там передається як параметр і отримуємо ситуацію, що похід на заборонені сайти можна здійснювати через анонімайзер  . Я надіюсь, що не дуже намудрив.

Купіть їм компакт з порнографією і хай дивляться її локально. :-)
Зв'язок - це така штука, що він або є, або його нема.

Я б порадив вам зробити шейпінг (обмеження трафіку) по часу та по вмісту. Тобто поставити, що файли із розширенням .jpg передавалися дуже повільно. А після закінчення робочого дня це обмеження знімати - хай дивляться скільки хочуть.

Тобто щось подібне на це (не перевіряв):

acl jpegs url_regex -i \.jpe?g
delay_pools 1
delay_class 1 2 #pool 1 is a delay_class 2
delay_parameters 1 10000/100 # 10000 bytes for all, 100 bytes per host
delay_access 1 allow jpegs

Тобто тепер всі jpeg-и тягнутимуться зі швидкістю 100 байт в секунду. :-)

PS.
Якщо робите якісь обмеження по ip-кам, не забудьте заблокувати зміну ip-ок розумними товаришами: http://solaris.opennet.ru/base/sec/arp_fixation.txt.html ;-)

[Toshik]

Купіть їм компакт з порнографією і хай дивляться її локально. :-)

Вся справа в тому, що цими користувачами є учні ліцею, а тому порнографію просто не можна дивитися (незалежно від того вона знаходиться локально чи десь в Інеті)  

Я б порадив вам зробити шейпінг (обмеження трафіку) по часу та по вмісту. Тобто поставити, що файли із розширенням .jpg передавалися дуже повільно.

За статутом ліцею вони мають право юзати інет на повну, якщо вони  
ходять на ресурси, що мають відношення до навчального процесу (а це можуть бути і картинки).

А ситуація така: на інет кожен користувач має свій логін і пароль (цю систему писав я сам). Потім адмін проглядає логи користувачів,
і коли хтось ходив не туди, куди потрібно, то його аккаунт закривають. І дуже погано коли не можна відслідкувати коли вони ходили через анонімайзер (бо через нього вони можуть ходити як на дозволені так і на заборонені сайти)  :-/

[Володимир Лісівка]

Вся справа в тому, що цими користувачами є учні ліцею, а тому порнографію просто не можна дивитися (незалежно від того вона знаходиться локально чи десь в Інеті)  

Це вирішується адміністративними методами - якщо застукали, то звільняйте.

За статутом ліцею вони мають право юзати інет на повну, якщо вони  
ходять на ресурси, що мають відношення до навчального процесу (а це можуть бути і картинки).

А ситуація така: на інет кожен користувач має свій логін і пароль (цю систему писав я сам). Потім адмін проглядає логи користувачів,
і коли хтось ходив не туди, куди потрібно, то його аккаунт закривають. І дуже погано коли не можна відслідкувати коли вони ходили через анонімайзер (бо через нього вони можуть ходити як на дозволені так і на заборонені сайти)  :-/

А ордер від судді на перлюстрацію особистих даних ви вже отримали? :-)
Якщо ви почнете збирати приватну інформацію про учнів, то проти вас можуть відкрити кримінальну справу. Я ж пояснював, що в URL-ах може бути не тільки те, що ви хочете побачити, а й те, що вам бачити зовсім не слід.

Все-одно учні щось придумають щоб обійти ваші обмеження - я, коли був студентом, навіть написав свій проксі, який проривався через всі заслони, які адміністратор виставив. :-)

[Toshik]

Якщо ви почнете збирати приватну інформацію про учнів, то проти вас можуть відкрити кримінальну справу. Я ж пояснював, що в URL-ах може бути не тільки те, що ви хочете побачити, а й те, що вам бачити зовсім не слід.

Вся справа у тому, що така інформація, яку мені краще не бачити передаватися не повинна. Вся інформація має стосуватися учбового процесу (ну виключення тут може становити електронна пошта). Тобто, ніхто кримінальної справи на мене не буде заводити (а враховуючи те, що це взагалі не моя задумка... я людина підневільна  )

Все-одно учні щось придумають щоб обійти ваші обмеження - я, коли був студентом, навіть написав свій проксі, який проривався через всі заслони, які адміністратор виставив. :-)

Тут я абсолютно згодний...

[RomadinR]

Спробуйте Dansguardian. Він фільтрує по контенту і, мабуть, підійде для Ваших потреб. Крім того, він може виконувати антивірусну перевірку всього, що через нього проходить.