Всем привет.
Если кому интересно, то статистику использования интренета в целом( а не только web - траффик) можно снимать используя связку trafd + пару perl скриптов + mysql + Web - интрефейс.
Trafd снимает статистику с указанного интрефейса и кладёт её в бинарник:
/usr/local/bin/trafsave re0
/usr/local/bin/trafsave rl1
затем этот бинарник превращается в текстовый файл:
date=`date -v-1d '+%Y%m%d'`
fpath=/usr/local/var/traffic/$date
fname=/usr/local/var/traffic_plain/$date
/usr/local/bin/traflog -a -n -i $fpath.rl1 >> $fname.rl1
/usr/local/bin/traflog -a -n -i $fpath.re0 >> $fname.re0
Эти текстовые файлы анализируются perl - сценариями, которые парсят их и загоняют инфу в базу(например mysql).
Ну а потом дело техники - научится её отображать правильно.
В итоге: имеем (у меня по дням) инфу по ip - адресам пользователей с указанием удалённых портов.
Можно конечно забивать в базу ip - адреса, на которые был коннект и делать статистику намного чаще, но поа необходимости не было в этом.
SArg можно контроллировать по ip Web траффик, например.
Данная настройка производилась используя
www.lissyra.su и статью журнала Системный администратор.
Надеюсь, кому нибудь пригодится...