[9.091][CLOSEDupREQ] Application control log not working

Hello , 

Application control live and view log not working 
tested with ff and chrome with cache reset many times 

pls let me know which log will help 

thanks

Hi utm_kid, I have tested the application control(utm 9.091) live log with google and Iam getting results in live log. So this is working for me.

Iam using Windows7 64bit Firefox 20.

greetings Thomas

Tested on a MAC with ff 20.0 works fine. Tested it on the sixxs tunnel, the vlan and the pppoe interfaces, all show traffic.

Ian

yes i can confirm its not working ,i did again reboot but same problem 

pls let me know which log will help to diagnose this 

thx

i disable appctrl global button and enable but did not help 
then i run /var/mdw/scripts/afc restart
this was about 19:xx hours (pls check log) still no live and view log (update )

[HTML] 2013:04:12-07:27:22 acenn ulogd[4939]: id="2017" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Alert" action="log" fwrule="7" outitf="eth1.50" mark="0x307f" app="127" srcmac="0:c:29:7b:b4:8f" srcip="219.64.91.253" dstip="199.47.219.159" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="34169" dstport="443" tcpflags="ACK" 
2013:04:12-14:13:10 acenn afcd[5688]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:13:11 acenn afcd[5688]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:12-14:13:11 acenn afcd[5688]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:13:11 acenn afcd[5743]: AFC ready.
2013:04:12-14:31:45 acenn afcd[5743]: vy_plugin: N: finalizing vineyard thread
2013:04:12-14:31:46 acenn afcd[5743]: STATUS: alert_lvl="GREEN" run_time=1113 num_cts=0 pktps_avg=0.00 pktps_avg_max=45.33 skipped_pktps_avg=0.00 skipped_pktps_avg_max=1.80 connps_avg=0.00 connps_avg_max=22.16 rusage_sys=0.624 rusage_usr=0.416
2013:04:12-14:31:46 acenn afcd[5743]:     BNET (nfmark 00000041):      1 packets,   1 connections
2013:04:12-14:31:46 acenn afcd[5743]:     CFFS (nfmark 00000303):     12 packets,   4 connections
2013:04:12-14:31:46 acenn afcd[5743]:     CIFS (nfmark 00000048):      5 packets,   5 connections
2013:04:12-14:31:46 acenn afcd[5743]:      DNS (nfmark 0000007c):   3406 packets, 1692 connections
2013:04:12-14:31:46 acenn afcd[5743]:     HTTP (nfmark 000000d3):      9 packets,   0 connections
2013:04:12-14:31:46 acenn afcd[5743]:     POP3 (nfmark 0000017a):      1 packets,   1 connections
2013:04:12-14:31:46 acenn afcd[5743]:     SMTP (nfmark 000001ca):      8 packets,   8 connections
2013:04:12-14:31:46 acenn afcd[5743]:   SYSLOG (nfmark 000001e8):     20 packets,  20 connections
2013:04:12-14:31:46 acenn afcd[5743]: packets: 6051 (5001 inspected, 24 skipped)
2013:04:12-14:31:46 acenn afcd[5743]: connections: 2412 (1731 classified)
2013:04:12-14:31:51 acenn afcd[12023]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:31:52 acenn afcd[12023]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:12-14:31:52 acenn afcd[12023]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:31:52 acenn afcd[12037]: AFC ready.
2013:04:12-14:31:52 acenn afcd[12037]: WARNING! packet already has AFC mark value (0x000010d3), replacing with 0x00001000
2013:04:12-19:10:21 acenn afcd[12037]: vy_plugin: N: finalizing vineyard thread
2013:04:12-19:10:22 acenn afcd[12037]: STATUS: alert_lvl="GREEN" run_time=16708 num_cts=0 pktps_avg=0.21 pktps_avg_max=70.89 skipped_pktps_avg=0.00 skipped_pktps_avg_max=6.79 connps_avg=0.00 connps_avg_max=17.56 rusage_sys=3.784 rusage_usr=3.228
2013:04:12-19:10:22 acenn afcd[12037]:     CFFS (nfmark 00000303):    171 packets,  57 connections
2013:04:12-19:10:22 acenn afcd[12037]:     CIFS (nfmark 00000048):     69 packets,  69 connections
2013:04:12-19:10:22 acenn afcd[12037]:      DNS (nfmark 0000007c):  13824 packets, 6892 connections
2013:04:12-19:10:22 acenn afcd[12037]:  DROPBOX (nfmark 0000007f):    264 packets, 264 connections
2013:04:12-19:10:22 acenn afcd[12037]:     HTTP (nfmark 000000d3):    167 packets,  17 connections
2013:04:12-19:10:22 acenn afcd[12037]:      NFS (nfmark 00000150):     14 packets,  14 connections
2013:04:12-19:10:22 acenn afcd[12037]:      NTP (nfmark 0000015d):      3 packets,   3 connections
2013:04:12-19:10:22 acenn afcd[12037]:     POP3 (nfmark 0000017a):     19 packets,  19 connections
2013:04:12-19:10:22 acenn afcd[12037]:     SMTP (nfmark 000001ca):     60 packets,  60 connections
2013:04:12-19:10:22 acenn afcd[12037]:      SSH (nfmark 000001d8):    152 packets,   3 connections
2013:04:12-19:10:22 acenn afcd[12037]:   SYSLOG (nfmark 000001e8):     35 packets,  35 connections
2013:04:12-19:10:22 acenn afcd[12037]: packets: 18198 (16525 inspected, 143 skipped)
2013:04:12-19:10:22 acenn afcd[12037]: connections: 7610 (7433 classified)
2013:04:12-19:10:22 acenn afcd[23433]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-19:10:23 acenn afcd[23433]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:12-19:10:23 acenn afcd[23433]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-19:10:23 acenn afcd[23437]: AFC ready.  [/HTML]
thx

i disable appctrl global button and enable but did not help 
then i run /var/mdw/scripts/afc restart
this was about 19:xx hours (pls check log) still no live and view log (update )

[HTML] 2013:04:12-07:27:22 acenn ulogd[4939]: id="2017" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Alert" action="log" fwrule="7" outitf="eth1.50" mark="0x307f" app="127" srcmac="0:c:29:7b:b4:8f" srcip="219.64.91.253" dstip="199.47.219.159" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="34169" dstport="443" tcpflags="ACK" 
2013:04:12-14:13:10 acenn afcd[5688]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:13:11 acenn afcd[5688]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:12-14:13:11 acenn afcd[5688]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:13:11 acenn afcd[5743]: AFC ready.
2013:04:12-14:31:45 acenn afcd[5743]: vy_plugin: N: finalizing vineyard thread
2013:04:12-14:31:46 acenn afcd[5743]: STATUS: alert_lvl="GREEN" run_time=1113 num_cts=0 pktps_avg=0.00 pktps_avg_max=45.33 skipped_pktps_avg=0.00 skipped_pktps_avg_max=1.80 connps_avg=0.00 connps_avg_max=22.16 rusage_sys=0.624 rusage_usr=0.416
2013:04:12-14:31:46 acenn afcd[5743]:     BNET (nfmark 00000041):      1 packets,   1 connections
2013:04:12-14:31:46 acenn afcd[5743]:     CFFS (nfmark 00000303):     12 packets,   4 connections
2013:04:12-14:31:46 acenn afcd[5743]:     CIFS (nfmark 00000048):      5 packets,   5 connections
2013:04:12-14:31:46 acenn afcd[5743]:      DNS (nfmark 0000007c):   3406 packets, 1692 connections
2013:04:12-14:31:46 acenn afcd[5743]:     HTTP (nfmark 000000d3):      9 packets,   0 connections
2013:04:12-14:31:46 acenn afcd[5743]:     POP3 (nfmark 0000017a):      1 packets,   1 connections
2013:04:12-14:31:46 acenn afcd[5743]:     SMTP (nfmark 000001ca):      8 packets,   8 connections
2013:04:12-14:31:46 acenn afcd[5743]:   SYSLOG (nfmark 000001e8):     20 packets,  20 connections
2013:04:12-14:31:46 acenn afcd[5743]: packets: 6051 (5001 inspected, 24 skipped)
2013:04:12-14:31:46 acenn afcd[5743]: connections: 2412 (1731 classified)
2013:04:12-14:31:51 acenn afcd[12023]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:31:52 acenn afcd[12023]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:12-14:31:52 acenn afcd[12023]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-14:31:52 acenn afcd[12037]: AFC ready.
2013:04:12-14:31:52 acenn afcd[12037]: WARNING! packet already has AFC mark value (0x000010d3), replacing with 0x00001000
2013:04:12-19:10:21 acenn afcd[12037]: vy_plugin: N: finalizing vineyard thread
2013:04:12-19:10:22 acenn afcd[12037]: STATUS: alert_lvl="GREEN" run_time=16708 num_cts=0 pktps_avg=0.21 pktps_avg_max=70.89 skipped_pktps_avg=0.00 skipped_pktps_avg_max=6.79 connps_avg=0.00 connps_avg_max=17.56 rusage_sys=3.784 rusage_usr=3.228
2013:04:12-19:10:22 acenn afcd[12037]:     CFFS (nfmark 00000303):    171 packets,  57 connections
2013:04:12-19:10:22 acenn afcd[12037]:     CIFS (nfmark 00000048):     69 packets,  69 connections
2013:04:12-19:10:22 acenn afcd[12037]:      DNS (nfmark 0000007c):  13824 packets, 6892 connections
2013:04:12-19:10:22 acenn afcd[12037]:  DROPBOX (nfmark 0000007f):    264 packets, 264 connections
2013:04:12-19:10:22 acenn afcd[12037]:     HTTP (nfmark 000000d3):    167 packets,  17 connections
2013:04:12-19:10:22 acenn afcd[12037]:      NFS (nfmark 00000150):     14 packets,  14 connections
2013:04:12-19:10:22 acenn afcd[12037]:      NTP (nfmark 0000015d):      3 packets,   3 connections
2013:04:12-19:10:22 acenn afcd[12037]:     POP3 (nfmark 0000017a):     19 packets,  19 connections
2013:04:12-19:10:22 acenn afcd[12037]:     SMTP (nfmark 000001ca):     60 packets,  60 connections
2013:04:12-19:10:22 acenn afcd[12037]:      SSH (nfmark 000001d8):    152 packets,   3 connections
2013:04:12-19:10:22 acenn afcd[12037]:   SYSLOG (nfmark 000001e8):     35 packets,  35 connections
2013:04:12-19:10:22 acenn afcd[12037]: packets: 18198 (16525 inspected, 143 skipped)
2013:04:12-19:10:22 acenn afcd[12037]: connections: 7610 (7433 classified)
2013:04:12-19:10:22 acenn afcd[23433]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-19:10:23 acenn afcd[23433]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:12-19:10:23 acenn afcd[23433]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:12-19:10:23 acenn afcd[23437]: AFC ready.  [/HTML]
thx

Just the live log is not popping up? Can you browse the log files Under Logging and Reporting->Log files and do these buttons work

1. Live log Button
2. View Button

Trying to replicate what you are seeing

Regards
Bill

hi Billu , 


i tryed to access live log from dashboard ,i also try what you are saying but output is blank and there is no entry in view log also ,some time back i restart the afc deamon but still i could not get restart acknowldgement in live/view log 

which log will help me to diagnose this 

edit: if you dont mid can you pls add some app control rule from flow monitor and dashboard app control's control 


thx

You are correct, something is broken in appcontrol logging. It stops working completely after a few minutes but I use chrome in incognito mode so restarting the browser makes it work again. But if you have multiple rules, all rules are not logged correctly.
Screenshots: 

1. Setup 2 allow rules with logging for http and youtube
2. Application control live log seems to be working.
3. Go to youtube... Live log won't add anything new while flow monitor is clearly showing youtube traffic[:O]

Tested on chrome.

Regards
Bill

till yesterday (with 9.090 )every thing was working correctly  ,just 2 days back i added some info https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/65073 here 

i am using around 16 rules (active) and some are disable 

i see blank report till upgrade it was working i have last log at 7.2X am ,and after that i did upgrade and after that there is no log 
(only  deamon's start/restart  log)
thx

Oh sorry, I didn't follow that thread, been busy at work... seems like they broke the whole log instead of fixing the numbering [:D]

it seems this is something else becase they did not work on that thread as per bot and as per rpm check 

application control was last update on 10 apr before 9.091 was relase 

thx

full log of today 

[HTML] 2013:04:16-10:20:35 acenn afcd[5777]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:16-10:20:36 acenn afcd[5777]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:16-10:20:36 acenn afcd[5777]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:16-10:20:36 acenn afcd[5983]: AFC ready.
2013:04:16-17:24:12 acenn afcd[5774]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:16-17:24:13 acenn afcd[5774]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:16-17:24:13 acenn afcd[5774]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:16-17:24:13 acenn afcd[5801]: AFC ready.
2013:04:16-17:36:55 acenn afcd[5923]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:16-17:36:56 acenn afcd[5923]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
2013:04:16-17:36:56 acenn afcd[5923]: _afc_cfg_file_plugin_parse: 805 protocols registered
2013:04:16-17:36:56 acenn afcd[5953]: AFC ready.[/HTML]

thanks

hello  , 

here is workaround to fix (?) it , 

it you disable http proxy and enable pf rule for web browsing group it work 
it work but if you enable proxy and disable pf rule again it stop working 

it seems no 1 form sophos is intrested in problem [:@]

thx

 But if you have multiple rules, all rules are not logged correctly.
Screenshots: 

1. Setup 2 allow rules with logging for http and youtube
2. Application control live log seems to be working.
3. Go to youtube... Live log won't add anything new while flow monitor is clearly showing youtube traffic[:O]

Hi Bill,

Did same scenario as you did, and logs show that the youtube flow is dispatched correctly. Please check attached. If you are using the web proxy, the traffic is logged there and you will no longer see it in afc.log.
Edit: tested without web proxy. 
Regards,
Bianca

Under what conditions would you expect to see entries in the Application log when the http proxy is enabled? I have a number of applications managed by AP.

I was just investigating my application log and it is a null, while the application flow monitor is showing traffic.

Ian

I have 6 groups of which 2 are logged. That brings a strange dsiplay question about Application rules, the AP rules that are tagged "Don't Log" have strange references as part of their name. The ones logging don't.

Please see  attached pretty picture for a clearer explanation.