Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2684 views
  • Users 0 members are here
Options
Suggested

[8.285][NOTABUG][CLOSED] App Control blocking in daily executive report

Billybob
Hi, this might be related to
 [17634] [UBB][8.163] AppCtrl: traffic falsely shows up at "Top10 blocked"

I have application control active to control QoS but I don't have any applications defined in the application control rules as shown in screenshot1. However I see facebook[8-)] blocked for some reason in my daily executive report.

Screenshot1: App control configuration.
Screenshot 2&3: Daily executive report of top blocked applications.

Regards
Bill.
Parents
  • 0
    Hi Bill,
    as you in your http log see, an application has been blocked because of the word "ebay". Such blocked applications would be saved in the DB and will be displayed in reporting. In these situations the reporting makes any differences whether the client abort the application or not.
    BTW. the statuscode="500" could be based of several reasons occured.

    Have fun,
    Masoumeh
  • 0 in reply to msaki
    ...as you in your http log see, an application has been blocked because of the word "ebay". Such blocked applications would be saved in the DB and will be displayed in reporting. In these situations the reporting makes any differences whether the client abort the application or not....

    I would say your query is wrong then. If you query something like
    select * from http_log_table where action='block' and application='ebay'
     without verifying the most important condition which is whether application control is even active for that application, then your results are wrong.

    Guys, you can call it not a bug and since we have release candidate out, there is probably a code freeze but this is a bug. Big companies have compliance policies. If my HR says ebay blocked and facebook open, yet when we look at the daily report, I am blocking facebook, someone will have to answer. Simple things like this make a huge difference in how a product is perceived and a reputation between flaky reporting and top notch reporting.
    /Rant

    Regards
    Bill
Reply
  • 0 in reply to msaki
    ...as you in your http log see, an application has been blocked because of the word "ebay". Such blocked applications would be saved in the DB and will be displayed in reporting. In these situations the reporting makes any differences whether the client abort the application or not....

    I would say your query is wrong then. If you query something like
    select * from http_log_table where action='block' and application='ebay'
     without verifying the most important condition which is whether application control is even active for that application, then your results are wrong.

    Guys, you can call it not a bug and since we have release candidate out, there is probably a code freeze but this is a bug. Big companies have compliance policies. If my HR says ebay blocked and facebook open, yet when we look at the daily report, I am blocking facebook, someone will have to answer. Simple things like this make a huge difference in how a product is perceived and a reputation between flaky reporting and top notch reporting.
    /Rant

    Regards
    Bill
Children
No Data
Unfiltered HTML