Pour le HTTPS, il est également possible de se contenter du SNI de la requête et des champs Subject et SAN du certificat dans la réponse, ça ne donne pas l’URL précise, mais déjà une bonne indication du « site » visité.

2016-12-22 14:02 GMT+01:00 Dominique Rousseau <d.rousseau@nnx.com>:
Le Wed, Dec 21, 2016 at 10:40:45PM +0100, Christophe Dezé [christophedeze@wanadoo.fr] a écrit:
> bonjour,
>
> Quelles solutions connaissez vous pour journaliser les accès aux
> sites web au travers d'un routeur sans utiliser de proxy (type
> squid) ?

Soit tu veux logger le trafic HTTP comme tel, et tu mets une proxy en
mode transparent (squid ou autre), qui sortira de beaux vrais logs avec
les noms des sites et les pages.
Si en prime tu veux l'HTTPS, faut intercepter la negociation SSL, des
vrai-faux certificats émis a la demande (avec une CA ajoutée dans les
navigateurs).

Sinon, si tu veux juste "mieux que rien du tout", du log iptables te
donnera les ip "sources" (privées, je suppose que t'as du NAT), et
destination avec les ports.

Y'a surement des solutions avec capture et analyse du trafic, mais ca
sera sans doute lourd en CPU et ca ne te donnera pas d'indication
précise sur le trafic HTTPS.


--
Dominique Rousseau
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 80000 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/