DNS лог
 

Приветствую!
Включил ведение журналирования запросов к DNS-серверу, появилась такая проблема. Дело в том, что при загрузке веб-страниц в ее телеобычно включены активные элементы, рекламные баннеры, картинки, и видимо, из-за этого лог заполняется не только запрошенными пользователями в браузере адресами, но и посторонними обращениями. Так, например, пользователи в локальной сети набирают mail.ru, а в результате кроме него в логе я вижу bar.love.mail.ru.
В связи с тем, что задача поставлена руководством с определенными целями, не хотелось бы вводить его в заблуждение, что сотрудник якобы сидит на сайтах знакомств.
А можно ли как-то отсеять паразитные запросы, которые пользователь сам не выполнял? Просто исключить поддомены нельзя, а вдруг кто-то действительно посещает в рабочее время непрофильные сайты?

Советы вроде запрета доменных адресов на этапе прохождения шлюза и прокси не в этой теме.

Той Серью,

Первое что странно, вы пытаетесь составить карту посещённых ресурсов пользователем посредством сбора статистики запроса DNS имени. Это как минимум не верно.
Для таких целей существуют различные программы которые интегрируются (или просто умеют работать с их логами) в сервер шлюза или прокси сервер.
Считаю что Вам следует смотреть именно в ту сторону.

Я с самого начала попросил этот вариант сейчас не рассматривать.
А как вы думаете, будет ли различаться, скажем, лог squid+ipcad от лога обращений к DNS-серверу? Ведь "наружу" идут те же запросы, и они так же фиксируются прокси, разве нет? Завтра, кстати, гляну,у меня есть такой лог от pfsense.

В роутерах, да, иногда, реализуют такие механизмы, особенно в софтовых, но, к примеру, встроенный механизм mikrotik "ловит" только http , мне пока неясно, почему.

Немного должен пояснить, почему я сейчас не рассматриваю прокси. У нас free pfsense на фряхе, но в последних версиях , как в нашей, простой squid, и его статистика общая, там нет статистики по хостам, ее просто вырезали, нет также в интерфейсе доступных пакетов и ipcad, его пришлось ставить в консоли. Автоматически ничего не ставится, только руками. Лезть в конфиги ipcad пока не рискую, ведь что не так, предприятие останется на определенный срок без интернета, а филиалы без vpn. Вот и рассматриваю разные альтернативы. Вроде получилось, но...не совсем то, что хотелось бы.

Что касается почтовых клиентов, то у нас сервер на зимбре, а там клиент убогий, и не умеет импортировать контакты и прочие хорошие вещи. Но дело даже не в мэйле, любой "приличный" сайт грузит много чего с контентом. Более того, странно, активность обращений сохраняется при запущенных браузерах даже когда сотрудник отсутствует.

сделайте себе ipcad + LightSquid, статей на эту тему полно в инете
и да, настраивается это только через консоль

Посмотрел сейчас лог squid-а , пока не обнадеживает, там такие же адреса встречаются
Самое надежное (кроме применения режима инкогнито), это ставить агентов на хостах, которые будут передавать историю браузеров. Кто-нибудь применял такое?

Откуда идея, что это самое надёжное, если вы не знаете никого, кто бы это применял? ;-)

самое надёжное достоверное - это proxy c подменой сертификата. Но с точки зрения обеспечения безопасности - это полный ахтунг по целому ряду причин.

Proxy-сервер - это вполне самостоятельная сущность, его совершенно необязательно ставить на пограничном маршрутизаторе, скорее наоборот: эта возможность - исключение привнесённое подобными готовыми "комбайнами".