Inte alltid skurkstreck
Det är viktigt att du är observant på de begränsningar som övervakning med dns ger dig, och du bör också känna till att flera av de servernamn som kommer dyka upp i loggarna inte nödvändigtvis behöver vara ett resultat av att en användare aktivt gått in på sajten, utan kan vara länkat material i reklam som publicerats.
Får du upp sajtnamn med något tvivelaktigt namn är alltså chanserna goda att det är reklam som gjort att en viss klient ställt namnförfrågan. Misstänker du däremot att det handlar om surfning kan du alltid ta och göra en sökning med kommandot grep i din loggfil och plocka ut antal förekomster av ett visst sökord för att skapa dig en uppfattning.
Om du till exempel vill skapa dig en bild av hur mycket tid folk lägger på Facebook kan du plocka ut den ip-adress som du vill undersöka och se antal förekomster av ”facebook”. Vill du undersöka hur många facebook-förfrågningar som ip-adressen 192.168.1.131 gjort gör du det med kommandot:
cat named.queries | grep 192.168.1.131 | grep facebook | wc -l
Det sista kommandot wc står för word count och växeln -l räknar antal rader. Det är också idé att endast plocka ut rader över en viss period, som exempelvis Sep som i september, eller en viss dags datum.
Om det här inte duger
Men om du är ute efter en mer komplett lösning där du verkligen kan se vilken typ av trafik det är som genereras i ditt nätverk och exakt vilka hemsidor som en viss anställd varit inne och surfat på så skulle vi rekommendera att du tittar på en proxy-lösning. Det finns öppna proxylösningar baserade på projektet Squid som förutom bättre övervakning ger snabbare surfning eftersom Squid kan konfigureras som en webbcache.
Ju fler anställda ni är, desto större blir fördelarna och synergieffekterna med en riktig proxy. Nackdelarna med en proxylösning är att dina klienter måste konfigureras för det om du nu inte har en transparent proxylösning med de begränsningar det innebär.
Vill eller kan du inte sätta upp ny utrustning som en proxy är ett annat alternativ att använda dig av ett traditionellt program för nätverksövervakning, till exempel Wireshark. Det kommer med ett kommandoradsprogram kallat tshark som ersatt tcpdump.
Nackdelen med tshark (och även tcpdump) är att de är komplexa – du måste vara duktig på att skapa filter för att inte samla på dig gigabytevis med data, och du måste vara observant på var någonstans i nätverket du jackar in dig.
TechWorlds slutsats
Övervakning med dns är väldigt enkelt och grovhugget, men utfört på rätt sätt och med rätt knep vid kommandoraden kan du komma väldigt långt.
Vårt råd är att börja med att kolla på den trafik som går via din dns-server med utgångspunkt från de ideér vi presenterat här. Jämfört med ingen övervakning alls är även de här ”ful-teknikerna”, som du kanske inte kommer skryter om, oändligt mycket bättre.
Innehållsförteckning
Det mellanstora företaget har ingen övervakning av nätverket i dag. Ingen har någon koll på exakt hur många klienter som finns i nätverket, och misstankar finns om att vissa anställda lägger ner alldeles för mycket tid på surf som inte är arbetsrelaterat. Det ligger på it-avdelningens bord att plocka fram fakta, och givetvis får det inte kosta något.
