Доменные имена (при подсчете трафика)

[pelmen]

При подсчете на шлюзе скаченного компами локальной сети Интернет-трафика обычно не получается посмотреть днс-имя сервера, откуда качалось. Такое поправимо в случае использования http-прокси, но только http-трафика. Возникла мысль хранить базу днс-запросов (ведь они тоже через шлюз идут, а можно и вообще днс-сервер на шлюзе поднять и запретить форвардинг днс-запросов на другие днс-сервера). Что нам это даст - при нынешнем положении дел мы в конце месяца видим, что Вася скачал за месяц с адреса хх.хх.хх.хх 20Гб. Это нам мало о чем говорит. Можно конечно еще разбить по портам, т.е. с этого адреса с порта 80 Вася скачал 10Гб и с порта 21 10Гб. Но это тоже не сильно поможет. А если сопоставлять адрес, откуда качали, и доменное имя, которое было передано Васе в ответ на этот адрес приблизительно в это время, то можно было бы увидеть, что Вася 10Гб скачал с сайта poisk-klientov.ru, а еще 10Гб - с porno-сайта, хоть они и расположены физически на одном сервере. Только как это сделать я пока не знаю.

[phantomSSL]

инфы бы побольше.... чем ведется подсчет? дистриб?

[pelmen]

Это не имеет значения. Даже мой провайдер ведет статистику [client_ip, server_ip, timestamp, bytes] (то есть без доменных имен)
А зачем вообще побольше инфы? Я эту тему завел для того, чтобы узнать, имеет ли смысл такая идея с dns-логами, или это глупо/сложно_реализуемо/не_реализуемо_вообще