* Незарегистрированный Пользователь

30.10.2008 16:26

Надо больше подробностей. Стандартная конфигурация или PigProxy? Сколько доменов? Что за пользователь, которого нет в списках, в каком домене этот фантом маячит? В каких списках его нет — в ACL или в списках авторизации?

imported

30.10.2008 17:14

Конфигурация стандартная. 1 домен. В списках есть пользователь u19. Отнесен к группе users. Иногда на той же машине появляется пользователь usr19. Он, судя по тому, что на него не действуют ограничения по квотам, он не приписан ни к какой из групп. Попробовал в HostBlackList.txt прописать *;usr19;0;0 — не помогло.

imported

30.10.2008 17:39

;usr19;;NF — вот так будет правильно в списке. Но белые списки имеют приоритет над чёрными, так что может и не сработать.

А вообще имеет смысл посмотреть в DATA\log\stat\200810auth.txt и DATA\log\proxy_acl\200810acl.txt — есть ли там вообще некто usr19 или он просто кем-другим прикидывается.

imported

30.10.2008 17:53

В белых списках его точно нет. Попробовал прописать в группу у которой запрет на выход в инет — не помогло. Сейчас проверяю 200810auth.txt.
В 200810acl.txt его нет. Среди списко квот тоже не указан.
Странно то, что его же нет среди пользователей, а он трафик "поставляет". Где же он может быть прописан?

imported

30.10.2008 19:46

А в каком логе его трафик виден?

imported

31.10.2008 09:24

В 200810auth.txt usr19 присутствует

XXXX-10-XX XXXX;XXX.X.X.X;HTTP-PROXY;usr19;;0;IpMacAuth

Estat32, версия — "MultiLanguage" — beta 2.71.333, приложение-скрипт для WIN32.

HTTPP Статистика по Пользователям для "all"
(Перейти: Заглавная, Общая, Почасовая, IpАдреса, Пользователи, Запросы, Наивысшие.) N² Имя пользователя: подключения трафик время график %
002 usr19 159 xxx.xx Mb 00:00:47 xx%
013 u19 1248 xx.xx Mb 02:00:36 xx%

Включил поиск usr19 в текстовых файлах — упоминаний не нашел.

imported

31.10.2008 11:22

XXXX-10-XX XXXX;XXX.X.X.X;HTTP-PROXY;usr19;;0;IpMacAuth

Авторизация не состоялась, однако, об этом говорит ноль. Что странно — IP+MAC-авторизация протоколирует только успешные события. Вы ничего в процессе редактирования не перепутали?

imported

31.10.2008 14:17

Миль пардон, действительно:

2008-10-29 13:58:07;XX.X.X.X;HTTP-PROXY;usr19;XXX.ru;0;AuthSource 2008-10-29 13:58:57;XX.X.X.X;HTTP-PROXY;usr19;XXX.ru;0;AuthSource 2008-10-29 14:00:29;XX.X.X.X;HTTP-PROXY;u19;XXX.ru;0;AuthSource 2008-10-29 14:00:46;XX.X.X.X;HTTP-PROXY;u19;XXX.ru;1;AuthSource [/quote:6036f69057] Я привел последнее упоминание на данного пользователя. А по данным Estat32 у этого пользователя были сеансы "yesterday", 30/10/2008: [quote:6036f69057]usr19 Сервер (протокол): HTTPP День: yesterday Период времени: 0:00 - 23:59 всего Ip адресов: 1 всего Запрошенных узлов: 29 всего Подключений: 159 всего Kb: Kb общее Время: [/quote:6036f69057] При этом в 200810auth.txt в это время пишет, что успешно прошел авторизацию u19. Т.е. если я правильно понимаю, то по какой-то причине прокси сам решает, кому приписать тот или иной трафик. При этом usr-у он не хочет назначать квоту, т.к. пользователя нет в списках.

imported

31.10.2008 15:17

Квоты квотами, а Estat смотрит совсем другие логи. Поищите упоминание usr19 в DATA\log\estat\log\1030stat.log.

А именные квоты для неавторизованного пользователя и не должны назначаться, только дефолтные общие. В записи статистике TrafC на позиции пользователя должен быть прочерк.

imported

31.10.2008 15:22

Usr19 есть в 1030stat.log. А вот почему он туда попадает. Ведь его же нет! Он не авторизовался, в списках не числится. Откуда тогда он?

imported

31.10.2008 17:46

Покажите образцы.

imported

01.11.2008 09:13

Это за 29 октября в 1029stat.log :

15:24:03 25105 HTTPP;10.0.0.13;usr19;GET http://www.rambler.ru/ HTTP/1.0;200;HTTP;21689;1532;14157
15:24:05 25105 HTTPP;10.0.0.13;usr19;GET http://counter.rambler.ru/top100.cnt?29811 HTTP/1.0;200;HTTP;153;10;15300

В 200810auth.txt на этот момент usr19 нет.

imported

01.11.2008 10:14

А за тридцатое? Если в 1030stat.log записей нет, то имеем глюк Estat.

Что до двадцать девятого — песня отдельная. Может, пришлёте мне логи?

imported

01.11.2008 14:00

Отправил письмо на Support.

imported

01.11.2008 19:58

Идиотский вопрос. Вы старые (прошлогодние) логи куда-нибудь удаляете/перемещаете? У меня есть подозрение, что usr19 — пришелец из прошлого года. Логи формата "двойки" не привязываются к году, поэтому там может такой груз прошлых лет накопиться, что мало не покажется. Посмотрите в порядке бреда — у вас там статистика за декабрь случайно не лежит?

imported

01.11.2008 23:26

Вопрос просто великолепен. А ответ — конечно лежат. Кто ж их будет стирать. А я так понимаю, что текущий лог дописывается к существуюшему. И получается ...
Я в логе на завтра сделал "зарубку". Завтра посмотрю

imported

02.11.2008 17:06

Да, Игорь, Ваше предположение переросло в уверенность — лог дописывается и данные предыдущего года смешивается с текущим. Об этой особенности подсчета трафика как то не указывалось. А посему надо иметь ввиду, что при использовании в качестве основной статистики данных EStat нужно стирать логи за предыдущий год. А может будет введен, т.к. данные дописываются в лог, контроль на повторение периодов и отсекание предыдущих.
Спасибо за помощь, несуществующего пользователя у меня нет, это всего лищь наследие прошлых времен.

imported

28.11.2008 11:19

Разрешите присоединиться к данному обсуждению.
Схожа проблемма, но фактор прошлогодних журналов отпадает, чистим регулярно.
Проблемма в том, что в АД аккаунты пользователей заведены в формате "ФамилияИО@domain", для всех компьютеров с одним пользователем настроена IP авторизация, кроме многопользовательских. Пользователи этих компьютеров при открытии сеанса вводят свои данные в формате "фимилияио@domain", т.е не различая заглавных и прописных букв. Eproxy идентифицирует их нормально, замечаний не было.
Сегодня обратили внимание на одного из пользователей "фамилияио" в статистике с суммарным трафиком, в 20 раз превышающем его квоту. Кроме того, в статистике есть и обычный "ФамилияИО", но первый регистрируется с двух станций (IP), а правильный — с третьей.
Возникает вопрос — то ли это глюк TrafC и пользователь не виноват, то ли (во что мне мало вериться) он осознано предпринимает что-то дополнительное для обхода ограничений.
Догадываюсь, что это можно пресечь, внеся соттветственно его в BlackList, но. во-первых, это может не сработать, если проблеммы глюк в авторизации, и ,во-вторых, хотелось бы все-таки, выяснить причину.
Какие журналы нужны для анализа?

imported

28.11.2008 11:57

Забыл еще сообщить, что, возможно, это связано с проводимым переносом Eproxy на другой сервер (и обслуживания нового домена АД). В процессе переноса проводилось много корректировки конфигурационных файлов, были проблеммы, но другого характера, которые на форуме обсуждали и уже решили.

imported

28.11.2008 12:56

Конфигурация у вас стандартная?
Вообще как-то странно... Я со слов не понял, что и как. В PigProxy пользователь всегда светится полностью, с доменом. А в стандарте, пор идее, должен без — Eserv ведь тоже смотрит на домены, и при наличии @ разбивает логин на логин и домен (полагая, что указан домен именно Eserv). Посмотреть бы на эти логи...

imported

28.11.2008 13:23

Логи готов предоставить

imported

28.11.2008 13:30

Пришлите мне в почту или на support@
Трекер, к сожалению, пока не ожил.

imported

28.11.2008 13:52

Какие логи нужны? Так редко обращаемся к настройке, что плохо ориентируемся в архитектуре продукта...

imported

28.11.2008 14:20

pppppp пишет: Сегодня обратили внимание на одного из пользователей "фамилияио" в статистике с суммарным трафиком, в 20 раз превышающем его квоту. Кроме того, в статистике есть и обычный "ФамилияИО", но первый регистрируется с двух станций (IP), а правильный — с третьей.

Вот это о чём? Какая статистика имеется в виду?

imported

28.11.2008 14:22

Estat32
Но, в принципе, "неправильный" пользователь присутствует почти во всех журналах, кроме TrafC

imported

28.11.2008 14:40

Значит, нужен какой-то DATA\log\stat\log\*stat.log
Не должно там быть юзера с доменом.

imported