[7.075] Executive report: blank top 10 dropped services [EVAL]

Hi astaro_bob, 

can you please login to the system and execute the following two commands and post the output here:

sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT DISTINCT(dayabs) FROM data;"

Result:
dayabs
732983
732984
732985
732986
732987
732988

Please use the last number you see, should be like "732988", and insert it into this second command

sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732988 GROUP BY svc ORDER BY pack DESC LIMIT 10;"

Result:
svc|pack
udp|815
|663
tcp|141
udp/24201|132
tcp/80|106
udp/68|51
udp/53|50
icmp/t8c0|36
udp/49685|15
udp/67|15

Please post the results here.

thanks
Gert

sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT DISTINCT(dayabs) FROM data;"
dayabs
732978
732979
732980
732981
732982
732983
732984
732985
732986
732987
732988
--
sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732978 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
tcp|6101
udp|1421
--
sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732979 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
tcp|6767
udp|2258
--
sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732980 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
tcp|4138
udp|1960
--
 sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732981 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
tcp|5894
udp|1117
--
sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732982 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
tcp|6182
udp|1552


sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732983 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
udp|43990
tcp|40885
--
sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732984 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
udp|34247
tcp|29757
--
sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732985 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
udp|39519
tcp|39090
--
sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732986 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
udp|42969
tcp|34749
--
 sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732987 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
tcp|46476
udp|39745
--
 sqlite3 -list -header /var/log/reporting/adbs/pfilter.dbl "SELECT svc, sum(packets) pack FROM data WHERE dayabs = 732988 GROUP BY svc ORDER BY pack DESC LIMIT 10;"
svc|pack
tcp|37806
udp|9802
tcp/27889|8852
tcp/4868|6733
udp/27889|1711
udp/4868|1144
tcp/46854|938
tcp/135|262
tcp/1433|164
udp/46854|134

Thank you for your help. This looks like the destination ports are missing for the top 2 dropped services. Can you please check your packetfilter log file (/var/log/packetfilter.log) for yesterday? Watch out for services having either proto 6 (tcp) or 17 (udp) but not having the 'dstport' key set in the logfile, or attach the file here, or send me the complete logfile per mail (agrosse at astaro dot com).

Thanks!
 andreas