Dúvida - Sarg

[lucascatani]

Estou com um probleminha para decifrar o log do sarg.

Eu tenho o youtube bloqueado pelo domínio, porém o log me mostra que mesmo com access denied ele consome banda:

Relatório de usuário
   SITE ACESSADO   CONNECT   BYTES   %BYTES   IN-CACHE-OUT   TEMPO DECORRIDO   MILLISEC   %HORA
T   gdata.youtube.com   45.35K   192.88M   97,45%   100,00%   0,00%   00:00:00   12   0,00%   NEGADO
T   l.sscdn.co   23   739.51K   0,37%   9,36%   90,64%   00:06:07   367,347   5,43%
T   static.ak.fbcdn.net   58   652.71K   0,33%   98,29%   1,71%   00:00:00   930   0,01%
T   profile.ak.fbcdn.net   185   559.03K   0,28%   24,82%   75,18%   00:01:46   106,164   1,57%


Veja que o youtube baixou 192 MB mesmo estando bloqueado, isso em alguns minutos....

[zekkerj]

Eu acredito que esse seja o tamanho dos dados que foram solicitados, não o que trafegou.

Você está bloqueando pelo "http_access" ou pelo "http_reply_access"?

[lucascatani]

Eu acredito que esse seja o tamanho dos dados que foram solicitados, não o que trafegou.

Você está bloqueando pelo "http_access" ou pelo "http_reply_access"?

http_access

[zekkerj]

Vc bloqueou todo o domínio youtube.com, ou só o serviço de vídeo?

[lucascatani]

Vc bloqueou todo o domínio youtube.com, ou só o serviço de vídeo?

Todo o domínio na porta 80

.youtube.com

[zekkerj]

Tente bloquear também a porta 443 (https).

[lucascatani]

Tente bloquear também a porta 443 (https).

É proxy transparente, a 443 não passa pelo squid...

[zekkerj]

Faça uma busca nos teus logs, veja se tem algum acesso ao domínio que não esteja com a ação "TCP_DENIED".

Ah! Outra coisa: o SARG faz relatórios de períodos. Pode ser que ele esteja analisando um período anterior ao seu bloqueio, e assim haveria registros de acesso permitido no seu arquivo de log.

Nesse caso, rotacione o arquivo de log, aguarde algum tempo, e repita a análise que fez. Observe se as estatísticas permanecem.