Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2681 views
  • Users 0 members are here
Options
Suggested

[8.285][NOTABUG][CLOSED] App Control blocking in daily executive report

Billybob
Hi, this might be related to
 [17634] [UBB][8.163] AppCtrl: traffic falsely shows up at "Top10 blocked"

I have application control active to control QoS but I don't have any applications defined in the application control rules as shown in screenshot1. However I see facebook[8-)] blocked for some reason in my daily executive report.

Screenshot1: App control configuration.
Screenshot 2&3: Daily executive report of top blocked applications.

Regards
Bill.
Parents
  • 0
    Hi Bill,
    we couldn´t reproduce your issue and now we are sure, that it isn´t the same problem like the one in MantisID 17634. 
    The reason for the displaye blocked application could be something else for example an advertismentrequest with the "facebook" as destination. You should know that the request could be blocked not only by Application Control. In such situations you will also see the Action ="block" and Application "facebook" and these is actually the funtionality of Reporting. So to figure out the right reason for the behavior  of your ASG I would aks you for the http.log. 

    Cheers,
    Masoumeh
Reply
  • 0
    Hi Bill,
    we couldn´t reproduce your issue and now we are sure, that it isn´t the same problem like the one in MantisID 17634. 
    The reason for the displaye blocked application could be something else for example an advertismentrequest with the "facebook" as destination. You should know that the request could be blocked not only by Application Control. In such situations you will also see the Action ="block" and Application "facebook" and these is actually the funtionality of Reporting. So to figure out the right reason for the behavior  of your ASG I would aks you for the http.log. 

    Cheers,
    Masoumeh
Children
  • 0 in reply to msaki
    Thanks for the hint. I can see in my report from yesterday, I had 
    TOP10 Blocked Destinations
    Total packets: 2
      Server IP Server Hostname Packets %
    1 66.211.180.60 srv.ebayrtm.com 1 50.00 %
    2 66.211.181.40 srv.ebayrtm.com 1 50.00 %

    and in my http log I can see 

    2011:11:29-10:03:48 gatekeeper httpproxy[23725]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.11" dstip="66.211.180.60" user="" statuscode="500" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="5749" request="0xaaa2760" url="http://srx.main.ebayrtm.com/rtm?--snip-------" exceptions="" error="Download aborted by client" country="United States" category="158" reputation="neutral" categoryname="Auctions/Classifieds" content-type="application/x-javascript" application="ebay"

    I still don't know why it got a status of block if it was aborted by the client.

    Regards
    Bill
Unfiltered HTML