Как отследить, спарсить, визуально мониторить подключившихся пользователей по OpenVPN?

Question

[Арсланали]

Добрый день!

Для подключения удаленных сотрудников в компании был поднят OpenVPN.
Необходимо мониторить кто и когда подключался из удаленных сотрудников к серверу OpenVPN.
Где на сервере лежит лог файл?
Как и чем парсить этот лог файл и визуально отображать для руководства(отдела кадров)?

Answer 1

[res2001]

В конфиге openvpn есть директива status - в ней можно задать путь к файлу куда openvpn будет складывать текущую информацию по подключенным соединениям. Чем парсить - фиг знает, разбирайте его сами, лог простой.

В директивах log или log-append - указываете общий файл лога, туда льется вся остальная инфа от openvpn.
Уровень логирования задается с помощью verb.

Answer 2

[Dmytro Yunh]

Привет хабровчане.
Использую у себя такой скрипт на проде:

#!/bin/sh

export INDEXTXT=/etc/openvpn/easyrsa3/easyrsa3/pki/index.txt
export LOGFILE=/var/log/openvpn.log
echo -e "\nOpenVPN users last connection mac/ip list tool\n"
validusers=$(grep -E "V{символ табуляции}" $INDEXTXT|cut -d'=' -f2)
#echo Users last mac/ip addresses:
echo LastLogin Timestamp        /       User    /       mac     /       ip
for usr in ${validusers}
    do
    if [ $(grep -E "MULTI: Learn:" $LOGFILE|grep "$usr"|tail -1|wc -l) -gt 0 ]
        then
        echo $(grep -E "MULTI: Learn:" $LOGFILE|grep "$usr"|tail -1|cut -c 1-24)    /       $usr    /       $(grep -E "MULTI: Learn:" $LOGFILE|grep "$usr"|tail -1|cut -d':' -f6-11|cut -c 2-18)    /       $(grep -E "MULTI: Learn:" $LOGFILE|grep "$usr"|tail -1|cut -d'/' -f3|cut -d':' -f1)
    fi
done

Стоит обратить внимание на символ табуляции в команде выборки валидных пользователей.

Принцип работы:
Парсинг файла БД сертификатов openssl - index.txt, выборка валидных пользователей.
Цикл с проходом по списку валидных пользователей, и парсинга лог-файла openvpn.log
Выхлоп скрипта примерно следующий:

Comments

[Арсланали]

Как выгрузить этот выхлоп в экзель?

[Dmytro Yunh]

Арсланали, вручную, в экселе потом разбить данные по столбцам по разделителю, в скрипте используется разделитель "/"

Answer 3

[Bronn]

У меня под FreeBSD логи от трёх процессов OpenVPN лежат в /var/log/openvpnN.log
Для простейшего мониторинга есть пишутся текстовые файлы
/usr/local/etc/openvpn-statusN.log
Формат у них вполне прост, например:
OpenVPN CLIENT LIST
Updated,Thu May 28 16:31:18 2020
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
vasya,136.132.117.53,3181220962,117704860,Wed May 27 12:33:50 2020
petya,136.132.11.27,633201412,33079349,Wed May 27 13:07:01 2020
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.114,petya,136.132.117.53,Thu May 28 16:31:17 2020
10.8.0.18,vasya,136.132.112.27,Thu May 28 16:31:17 2020

Comments

[Dmytro Yunh]

Bronn, прикольно, а как добился отображения в openvpn-status.log, виртуального IP-шника?

[Bronn]

Специально ничего делать не пришлось. Просто упомянул в конфиге openvpn.conf опцию, о которой выше писал res2001:

status openvpn-status.log         
# ну и собственно лог                                                                                                                              
log /var/log/openvpn.log                                                                                                                                       
verb 3

[Арсланали]

Такой момент еще. Я например опенвпн сутками держу подключенный, ноутбук просто включенный по удалёнке на рабочий пк
В отчете(логе) это будет отражаться как будто я в понедельник один раз подключился и больше не подключался?

Как видеть время жизни сесии клиента?

[Dmytro Yunh]

Арсланали,

В отчете(логе) это будет отражаться как будто я в понедельник один раз подключился и больше не подключался?

Если разбирать лог openvpn.log, то именно так.
В случае с openvpn-status.log, то в нем хранятся только активные сессии, все кто отключился, отстутствуют в этом файле.

Как видеть время жизни сесии клиента?

Боюсь это возможно только с помощью файла openvpn-status.log, сорри, такой задачей не занимался :)

[Dmytro Yunh]

Bronn, на сервере centos, такой подход фиксирует все перечисленное, но не виртуальный IP :), хотя может быть стОит, обновить серверную часть самого openvpn, возможно это появилось в более новой версии. В текущий момент используется версия 2.4.7

[Арсланали]

интересный вариант
Просмотрите: "Пример 2 - отслеживать статистику клиентских подключений"

[Арсланали]

Что скажите?
Так как раз, как я понял, и будет видна жизнь сессии.

[Dmytro Yunh]

Арсланали, похоже будет работать, остается только установить БД sqlite3, и обратите внимание на этот вопрос.

[Арсланали]

Dmytro Yunh, Понял.
Спасибо!

[Dmytro Yunh]

Арсланали, попробовал на тестовом сервере использовать функционал данных скриптов:
client-connect
client-disconnect

Но получил ошибку:

Так что этот вопрос нужно проработать плотнее.

[Арсланали]

Dmytro Yunh, Понял
Вы делали настройку?

[Dmytro Yunh]

Арсланали, в итоге, использовал такую настройку на сервере openvpn:

Сами скрипты:

Результат в логе:

Соответственно, выдал права на скрипты:

и файлы логов в скриптах:

пользователю, от которого выполняется сервис openvpn.