Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 2131 views
  • Users 0 members are here
Options
Suggested

[FEATURE] Logging severely lacking

Billybob
With all the fancy dashboard graphs, I am finding that the logging is either too hard to find or lacking in this version. Why don't we have to ability to choose date/time ranges when parsing logs in the web interface of copernicus. 

For example, on the dashboard I have 62 risky apps[:O] screenshot1

Lets click on the suspicious apps to see whats going on. I get screenshot2. What??? HTTP ... Really? http is an app now?

Lets go look at the logs ... something must be visible in the logs right? Wrong... screenshot 3. To add insult to injury, I am also told to check the settings because maybe the logging is not enabled. Wow[8-)] I appreciate the link to enable logging but most of the daemons already have logging enabled by default and don't need a reminder to enable logging if the file doesn't exist.

I guess time to pull out putty and manually parse the log files. Aha something in the awarrenhttp.log https://community.sophos.com/products/unified-threat-management/astaroorg/f/67/t/57959 Whats the point of all the fancy graphs if the grunt work has to be done with ssh[:S]

Also I noticed that the files are not being rotated. So one file is going to hold all the logging data indefinitely? Is that intentional? 

Regards
Bill
Parents
  • 0
    Yes the logging seems incredibly lacking at the moment, at least I have not found a way to get it to work like I want it to >_
  • 0 in reply to demonwarext
    Sophos replied that they will improve UI and logs too. On copernicus, to be honest, there are many graphs and nice "colours" but I lose the perception of what is happening! Reports are for Chiefs, logs are for Admins (and we need them!) 

    Even live log is missing. You have to refresh manually to see logs. In other post I said that we really miss live log and hope to see "coloured live logs" where Admins can customize their view. When you have many entries, colours allows you to better understand and filters logs. If you think about tail and multitail for example, it is better manage logs on multitail command.

    We miss the notepad icon from UTM 9 on top of the web interface too.
    [:(]
    Let us give Sophos time to improve this aspects too!

    [[[;)]]][[[;)]]][[[;)]]]
  • 0 in reply to lferrara
    I am trying to find two issues in the logs and the logs are either missing or not much detail.
    1/. central management - connection failed - not much use.
    2/. PPPoE connection details to see if IPv6 is being requested - no log. IPv6 works quite happily from this ISP on the UTM that preceded this device.

    Ian
Reply Children
  • 0 in reply to RFCat_vk_01
    There's definitely some differences in logging in Copernicus. However, there is a live log viewer. The log viewer has a refresh interval, when set to something non-zero will update automatically, periodically. There are two primary differences still to UTM9. one, is that it does not pop out in a new window, and the other is that it will not refresh as fast as UTM9. we have plans to change this, but just not in this release. Of course, we do still have the shell, and the logs are stored in /log, so they can be tailed from the shell, if you prefer. Log filtering is greatly improved though, in a number of ways. First, log fields are individually filterable, and applying a filter applies it to the whole log history, not just to log events that come after you apply the filter as in UTM9 today. I have plans for the log viewer though, so expect to see the bits you miss and more, in future. 

    For log detail, make sure that your rules are set to log, and that Configuration > Log Settings has everything set that you expect to see. We'll change defaults in the next release, to make this a bit better. 

    The current activity section can provide quite a bit of valuable insight into whats happening at any time, but I agree there are some things we can improve to visibility. We'll have a look for the next release at what can be done overall.

    @billybob, http is an application already in UTM9. that just means we recognized it with the appcontrol engine, but don't have a more specific application recognition for it, like facebook chat, youtube, etc..
  • 0 in reply to AlanT_01
    Thanks for the response Alan, it gives us a little insight on what you guys are thinking as opposed to what we are expecting.[:)]
    On the logging, I have noticed that certain log files such as the http proxy (awarrenhttp.log) doesn't have time stamps on the access logs. The time stamps are only visible on certain events as daemon restart etc. Are you guys going to change that? It will be difficult to parse those logs without any kind of time stamp.

    Regards
    Bill
  • 0 in reply to Billybob
    I haven't looked into that, so I can't say with certainty, but we are looking at some of the foundational changes we'll need to cover in future versions. This is now on my list to look at. 

    logs sent with syslog should at least be time stamped.
Unfiltered HTML