Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 880 views
  • Users 0 members are here
Options
Suggested

[7.080] problems with http proxy profile logging

JuergenH
Hi.

I have some "problems" with the profile logging in the HTTP-Content log.

I have tested some time event configurations and http profile settings and wanted to use the http proxy log for some help.

I have a PC with a fixed IP (via static DHCP entries). This PC ist member of a network group and i have defined in my test environment 4 profiles (and the standard profile).

The IP matches exact one of the defined profiles.

While analyzing the log i found entries for this PC with 
... srcip="192.168.18.79" ... profile="profile_0"  and
... srcip="192.168.18.79" ... profile="profile_1"  and
... srcip="192.168.18.79" ... profile="profile_2"  and
... srcip="192.168.18.79" ... profile="profile_3"  !!!

This helps perfect for searching configuration problems!

My profiles have all real names, the matching profile in this case "HTTP-Surf-Protect". So "profile_0" (and the other "names") are generic.

I think i have isolated the problem:

After every change in the defined proxy profiles the generic names are set new - wow.

The first active (!!) defined profile is named "profile_0" and so on. So if we test by activating / deactivating profiles, this profile and all following profiles get new names in the profile.

That is a wrong play. Normally generated Names (or IDs) should not be changed or reused (it is a sin for programmers).

So we can not use proxy logfiles for profile troubleshooting.

regards Juergen
Parents Reply
  • 0 in reply to JuergenH
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/91/t/66412

    I was having a conversation with Tom and svens (here in the ubb) about this on Sunday.  They explained that only the active profiles are counted "now", and once I got that bit of info I was able to track down which profile I was using by watching the logs.

    Best way to do it?  No,  but it will work for now.

    In v6, if a website is blocked it would have a link to view " more details " which would tell you in plain text which profile blocked the site.

    I asked if they could add that functionality to v7, and Tom said that he would put it on his list of things to look at.

    I'm sure it's right on the top of his list, right Tom???  :-)
Children
  • 0 in reply to TXGARobert@Home
    Hello,

    i saw the thread.

    The 7.090 was announced as a release candidate and not as a new beta version.

    I normally saw a list with known issues in this state from the development - with informations like "we will realize in the upcoming release or in any further release". I missed this information, I missed any reaction from Astaro for many threads (not only my threads).
    I think that is not OK, so i checked all my open threads not defined as "features", notabug, ... yet.

    Now I don't know, what we will see in 7.100 - that's not OK I think after the hard work from many people.
    Are all open thread not confirmed, not a thing for 7.100, ...?

    In this thread I wrote about the problem, that the logfiles are unusable to find any problem after any configurations/reconfigs ...

    That's bad.

    regards Juergen
  • 0 in reply to JuergenH
    I didn't try any of this with v7.000 - v7.011 due to the white/black list being missing, but I would think that the firewall has been like this since the begining of v7. It's been out now for at least 8-9 months, and no one has, to my knowledge, said anything about it.  Such is the way of the HTTP proxy.

    I do not want to start a fight with anyone, but I find it hard to believe that the HTTP proxy ever had anyone who actually uses multiple profiles with time events be part of the beta testing.  How it ever got out of the 6.*** beta without people kicking and screaming about the white/black lists being left out is a mystery to me.  Not to mention the "more details" option being removed from the HTTP blocked page.  With v6 I made my users click this option so that could tell me exactly which profile they were using whenever they got blocked.  

    I've currently got about 7 active http profiles, and I have another 8 that are activated by the lab monitors to control web access as they need it.  I don't want to waste time trying to figure out which profile I need to modify if the system is capable of displaying that information right there on the screen.

    In v6, you were told which profile the users were using when they got blocked, but the packet filter did not give you much help when trying to figure out which packet filter was allowing/blocking access.

    Now, the packet filter displays the packet filter number, but the HTTP profile is not very exact when telling you which HTTP profile is being used.  A trade, I guess.

    In any case, release candidate or beta, I can actually use this version of v7 in my environment.  I am glad that I got to put my two cents in this time.  And Astaro does listen and act on customers rquests ( nested groups and White/Black lists were my pet peeves that are now implemented ).  

    I have no insider information, but I would be willing to bet that now that the issue of the http log not having the names of the profiles listed in the logs has came up, it will eventually be modified to do so.

    As to the http-log being unuseable...  Well, I have to disagree with you there.  After the naming format was explained to me, I have no trouble finding my users in the http log and identifing which profile they are using.  Yes, it would be so much easier if the profile_*** numbers did not change, but as long as I know how they change, I can use it.

    Regards,
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?