Здравствуйте.
Есть локальная сеть. Понадобилось в конце месяца иметь отчёт кто ходил
по некоторым определённым http-адресам + тот же отчёт "по запросу".
Ната нет (везде реальные белые IP-адреса), прокси нет и ставить нельзя.
Зато есть свитч, через который проходит трафик с возможностью
зеркалирования трафика на порт.
Первое что пришло в голову - использовать snort, который сможет
обработать весь свалившийся на него трафик, отсеять сразу из него только
80 порт (да, я в курсе что вёб-сервера не только там бывают), далее в
оставшемся трафике выцепить "GET http://www.somesite.ru"; и записать в
лог дату/время, IP-адрес клиента.
Не слишком жирно для такой задачи snort? Я ни разу его не использовал и
не будет ли это как из пушки по воробьям? Может есть какие-то другие
более лёгкие решения? Если нет других решений - может кто-то подскажет
пример правила для snort?
Нагуглить ничего интересного не получилось, вероятно я не знаю как
коротко описать что я хочу.
Заранее спасибо за ответы.