QA@IT

フォワードプロキシから大量アップロードの検知

2614 PV


a:インターネット - b:ルータ - c:Win2012R2サーバー + d:CentOS6.6Mini(Guest) - e:自PC

で、cは他サーバーの間借りです。dにはsyslog-ngを入れましたが、ログファイル切り替えの
際に取りこぼしが起きる様で、ほってあります。eはイントラネットですが、ログが出過ぎて
自分のPCだけで、現在精一杯です。

図中、eからbへの大量のアップロードを(事後で)検知しようとし、
 
 cサーバーに有る、フォワードプロキシとして使っている、
 DeleGate 9.9.12(Windows版)のログ
 
から情報得ようとしています。
ログは-vtとか-vdとかでない普通のDeleGate logfileのログです。
(protolog,errorlog,tracelogは封止して有ります。)

ここで質問ですが、
・httpでは、「 [POST] with body」(POSTメッセージ全体)
・httpsでは、「 replys[0] ~ bytes」(暗号後の全体)
の行を見れば、アップロードのバイト数が判るという事で良いでしょうか?
 
よろしくお願いいたします。

  • 普通のログとは言っても、ログの形式は色々あるので、実際の出力結果を記載しないと何とも言えないと思いますし、そこまで環境があるのなら実際に試験してみてはいかがでしょうか? -
ウォッチ

この質問への回答やコメントをメールでお知らせします。