Squid3 привязка пользователя AD к ip при анализе access.log?

Question

[den_scs]

Добрый день!
Сквид в access.log пишет при http запросе:
192.168.0.83 TCP_DENIED/403 3928 GET detectportal.firefox.com/success.txt v.vasiliy@EXAMPLE.LOCAL HIER_NONE/- text/html
При запросе по https:
192.168.0.83 TCP_TUNNEL/200 680 CONNECT rs.mail.ru:443 - FIRSTUP_PARENT/192.168.0.3 -
Необходимо подсчет трафика вести по имени доменного пользователя, для того-чтобы читать трафик внутри туннеля нужно подменять сертификат, не считаю это хорошей идеей. Знаю то-что ideco привязывает имя пользователя к ip адресу при первой авторизации.
#######Как сделать так, чтобы анализатор логов понимал ip и имя учетной записи active directory как "единое целое".
Анализатор использую squidanalyzer.
UPD
Разобрал ssl соединение через ssl_dump:
192.168.0.114 TCP_MISS/200 622 GET https://portal.mail.ru/NaviData? - HIER_DIRECT/94.100.180.59 application/json
Но желаемый результат не достиг. Как и прежде после url стоит прочерк, ожидал что будет так:
192.168.0.114 TCP_MISS/304 322 GET mail.ru/templates/protostar/js/template.js user_test@EXAMPLE.LOCAL HIER_DIRECT/94.100.180.59

Answer 1

[CityCat4]

Наверное надо начать с того, какой анализатор логов использовать, потому что squid сам логи не обсчитывает.

ЗЫ: Толку в таком подсчете будет ровно нуль. Без бампинга будет виден некий "внешний" адрес, на который будет считаться весь трафик, что на самом деле конечно же не так. То есть - вот иду я на mail.ru. Сформировалась https-сессия, я с главной mail.ru перехожу на "Знакомства" и там спокойненько себе девочек кадрю в рабочее время. Анализатор логов без бампинга увидит во всех случаях mail.ru. Анализатор логов с бампингом увидит все внутренние перемещения.

Answer 2

[den_scs]

Уточню: трафик считается, но в случае https он учитывается для ip адреса, в случае http для пользователя.