Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 30 replies
  • Subscribers 0 subscribers
  • Views 10670 views
  • Users 0 members are here
Options
Suggested

[9.091][CLOSEDupREQ] Application control log not working

utm_kid
Hello , 

Application control live and view log not working 
tested with ff and chrome with cache reset many times 

pls let me know which log will help 

thanks
Parents
  • 0
    Hello , 

    Application control live and view log not working 
    tested with ff and chrome with cache reset many times 

    pls let me know which log will help 

    thanks


    Hi utm_kid, I have tested the application control(utm 9.091) live log with google and Iam getting results in live log. So this is working for me.

    Iam using Windows7 64bit Firefox 20.

    greetings Thomas
  • 0 in reply to ThomasPe
    Tested on a MAC with ff 20.0 works fine. Tested it on the sixxs tunnel, the vlan and the pppoe interfaces, all show traffic.

    Ian
  • 0 in reply to Billybob
    hi Billu , 


    i tryed to access live log from dashboard ,i also try what you are saying but output is blank and there is no entry in view log also ,some time back i restart the afc deamon but still i could not get restart acknowldgement in live/view log 

    which log will help me to diagnose this 

    edit: if you dont mid can you pls add some app control rule from flow monitor and dashboard app control's control 


    thx
  • 0 in reply to utm_kid
    You are correct, something is broken in appcontrol logging. It stops working completely after a few minutes but I use chrome in incognito mode so restarting the browser makes it work again. But if you have multiple rules, all rules are not logged correctly.
    Screenshots: 

    1. Setup 2 allow rules with logging for http and youtube
    2. Application control live log seems to be working.
    3. Go to youtube... Live log won't add anything new while flow monitor is clearly showing youtube traffic[:O]

    Tested on chrome.

    Regards
    Bill
  • 0 in reply to Billybob
    till yesterday (with 9.090 )every thing was working correctly  ,just 2 days back i added some info https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/65073 here 

    i am using around 16 rules (active) and some are disable 

    i see blank report till upgrade it was working i have last log at 7.2X am ,and after that i did upgrade and after that there is no log 
    (only  deamon's start/restart  log)
    thx
  • 0 in reply to utm_kid
    Oh sorry, I didn't follow that thread, been busy at work... seems like they broke the whole log instead of fixing the numbering [:D]
  • 0 in reply to Billybob
    it seems this is something else becase they did not work on that thread as per bot and as per rpm check 

    application control was last update on 10 apr before 9.091 was relase 

    thx
  • 0 in reply to utm_kid
    full log of today 

    [HTML] 2013:04:16-10:20:35 acenn afcd[5777]: _afc_cfg_file_plugin_parse: 805 protocols registered
    2013:04:16-10:20:36 acenn afcd[5777]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
    2013:04:16-10:20:36 acenn afcd[5777]: _afc_cfg_file_plugin_parse: 805 protocols registered
    2013:04:16-10:20:36 acenn afcd[5983]: AFC ready.
    2013:04:16-17:24:12 acenn afcd[5774]: _afc_cfg_file_plugin_parse: 805 protocols registered
    2013:04:16-17:24:13 acenn afcd[5774]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
    2013:04:16-17:24:13 acenn afcd[5774]: _afc_cfg_file_plugin_parse: 805 protocols registered
    2013:04:16-17:24:13 acenn afcd[5801]: AFC ready.
    2013:04:16-17:36:55 acenn afcd[5923]: _afc_cfg_file_plugin_parse: 805 protocols registered
    2013:04:16-17:36:56 acenn afcd[5923]: loaded plugin '/var/sec/chroot-afc/lib/afc/vineyard.so'
    2013:04:16-17:36:56 acenn afcd[5923]: _afc_cfg_file_plugin_parse: 805 protocols registered
    2013:04:16-17:36:56 acenn afcd[5953]: AFC ready.[/HTML]

    thanks
  • 0 in reply to utm_kid
    hello  , 

    here is workaround to fix (?) it , 

    it you disable http proxy and enable pf rule for web browsing group it work 
    it work but if you enable proxy and disable pf rule again it stop working 

    it seems no 1 form sophos is intrested in problem [:@]

    thx
  • 0 in reply to Billybob
     But if you have multiple rules, all rules are not logged correctly.
    Screenshots: 

    1. Setup 2 allow rules with logging for http and youtube
    2. Application control live log seems to be working.
    3. Go to youtube... Live log won't add anything new while flow monitor is clearly showing youtube traffic[:O]


    Hi Bill,

    Did same scenario as you did, and logs show that the youtube flow is dispatched correctly. Please check attached. If you are using the web proxy, the traffic is logged there and you will no longer see it in afc.log.
    Edit: tested without web proxy. 
    Regards,
    Bianca
  • 0 in reply to Tinkerbell
    Under what conditions would you expect to see entries in the Application log when the http proxy is enabled? I have a number of applications managed by AP.

    I was just investigating my application log and it is a null, while the application flow monitor is showing traffic.

    Ian

    I have 6 groups of which 2 are logged. That brings a strange dsiplay question about Application rules, the AP rules that are tagged "Don't Log" have strange references as part of their name. The ones logging don't.

    Please see  attached pretty picture for a clearer explanation.
  • 0 in reply to utm_kid

    it you disable http proxy and enable pf rule for web browsing group it work 
    it work, but if you enable proxy and disable pf rule again it stop working 


    Hi Shrikant,

    Yes that is how it works. If you disable web filtering, traffic will be logged in afc.log and of course in app ctrl live log. See previous post with screenhot.
    If you use web filtering, the traffic will be logged in http.log/ web filtering live log. You will get what Billybob posted previously. Bill, btw, i reproduced your "screenshots" when using webfiltering.
    So guys, that's how this functionality was before, I do not see a threat here.
    Best regards,
    Bianca
Reply
  • 0 in reply to utm_kid

    it you disable http proxy and enable pf rule for web browsing group it work 
    it work, but if you enable proxy and disable pf rule again it stop working 


    Hi Shrikant,

    Yes that is how it works. If you disable web filtering, traffic will be logged in afc.log and of course in app ctrl live log. See previous post with screenhot.
    If you use web filtering, the traffic will be logged in http.log/ web filtering live log. You will get what Billybob posted previously. Bill, btw, i reproduced your "screenshots" when using webfiltering.
    So guys, that's how this functionality was before, I do not see a threat here.
    Best regards,
    Bianca
Children
  • 0 in reply to Tinkerbell
    Hi Bianca,
    I was adjusting my questions and answers when you posted your answer.

    But why would all the AP appear in the web log when some of them are not http proxy type traffic?

    Ian
  • 0 in reply to RFCat_vk_01

    But why would all the AP appear in the web log when some of them are not http proxy type traffic?


    Hi Ian,
    Sorry if i wasn't too clear.
    Not "all" Application Control traffic will appear in web filtering log, just the one that is using web proxy. Lets stick to Bill scenario using http and youtube. The browser is using the http proxy, so when u run those 2 types of traffic you will see them in http.log. If you would use other applications (utorrent, dropbox, skype etc), which are not configured with a web proxy, and you enable rules in AP to allow and log, you will see this type of traffic in afc.log.
    Regards
    Bianca
  • 0 in reply to Tinkerbell
    Thanks Bianca for detailed testing and explanation. I don't use application control for anything beside QoS so I wasn't familiar with the behavior of the logging functionality... unless OP has anything else to add, I am satisfied with your explanation.
    Regards
    Bill
    Edit: Was just wondering, if the behavior you describe has always been the same. Don't know what caused Shrikant to think that something had changed in the logging [:S]
  • 0 in reply to Billybob
    Hey Bill,
    As far as I know, this functionality was not changed. 
    Regards,
    Bianca
  • 0 in reply to Tinkerbell
    Sorry i was gone out to watch a drama ,that's  why i was late to reply but this is another drama [:D] 

    ok as i posted no one tested rules with inline mode (rules need be added with dashboard and flow monitor ) i am not sure that is the problem but some of the rule are added by me that way i can confirm this is a bug 

    you dont understand why i say enable this and disable that 

    if i disable http proxy from dashboard and enable pf rule application control log work ,that how it suppose to work ? [:@]

    when i enable http proxy from dashboard and disable pf rule application control log stop working 


    till update i dont had to disable http proxy to use application control log 

     if you want remote pls let me know or i can send you then we will do share rdp session to test this senario but this is 100 % bug

    edit : i have many rule around 16/17 some rule are network depandent ex .. facebook is only allow for wireless network and after facebook is block for all network this is just 1 example there are some more such rules  and i am using http profile
  • 0 in reply to utm_kid
    Like I said, I don't know how the log worked previously but if it works anything like the packet filter log then the traffic using proxies won't be logged as expected and I don't think the behavior will change this close to the end of the beta. 

    Only thing that bothers me a little bit is that application control blocks applications regardless of the status of the proxy server / packet filter and if you block an application via application control, it probably should be logged in the application log also specially when it clearly marks it as such in the proxy logs.

    2013:04:19-16:20:15 gatekeeper httpproxy[6752]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.0.10" dstip="173.194.43.39" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2992" request="0x17980510" url="http://www.youtube.com/favicon.ico" exceptions="" error="" country="United States" category="147" reputation="neutral" categoryname="Streaming Media" content-type="image/x-icon" application="YOUTUBE"

    Regards
    Bill
  • 0 in reply to Billybob
    i am using this app ,some are delete 

    there are some app which are configure for 2 network for ex .facebook is allow on sony network which has again is http proxy profile and facebook block for all 

    there are some application group  (using 1 application name and many application block , like china with 1 app but block many web and app from china )
    try to add twitter ,facebook and youtube 

      0 'REF_AppRulRtmpso' [rtmpso]
       1 'REF_AppRulFacebookso' [facebooksony]
       2 'REF_AppRulYoutuBlockSony' [YouTube blocked sony]
       3 'REF_AppRulHttpFromAny' [HTTP]
       4 'REF_AppRulRtmp' [rtmp]
       5 'REF_AppRulGoogle' [google+]
       6 'REF_AppRulFacebook' [facebook]
       7 'REF_AppRulYoutuBlockVia' [YouTube blocked via inline reporting]
       8 'REF_AppRulSkype' [skype]
       9 'REF_AppRulDropbox' [dropbox]
      10 'REF_AppRulIrc' [irc]
      11 'REF_AppRulTorproxy' [torproxy]
      12 'REF_AppRulTwitter' [twitter]
      13 'REF_AppRulAaa' [aaa]
      14 'REF_AppRulBittorrent' [bittorrent]
      15 'REF_AppRulChina' [china

    thanks
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?