Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 30 replies
  • Subscribers 0 subscribers
  • Views 10679 views
  • Users 0 members are here
Options
Suggested

[9.091][CLOSEDupREQ] Application control log not working

utm_kid
Hello , 

Application control live and view log not working 
tested with ff and chrome with cache reset many times 

pls let me know which log will help 

thanks
Parents
  • 0
    Hi utm_kid,

    i tried to reproduce what you describe, but could not find any anomalies.
    Application control logs results either in http.log or afc.log.
    Packets are logged where they are processed (afcd or httpproxy).
    If something is shown in one of the logfiles depends on the configuration of httpproxy logging (advanced tab)
    and the logging option in the app-ctrl rule definitions.

    If you have enabled,for example, an app-ctrl rule definition for facebook (accept and log):
    If your client surfs to facebook using the httpproxy without ssl-scanning, those flows are logged in http.log. As the login-page of facebook usually uses ssl and httpproxy cannot handle it without ssl-scanning enabled, it bypasses the proxy and is handled by afcd. Those bypassing-ssl-requests are logged in afc.log while the rest of the facebook-traffic (http) is logged in http.log.

    If you think your installation really does not log where it should log (and where it has logged in previous releases), then please have a brief description of the differences in behaviour. With a description of "what has changed in your opinion" i could try to reproduce it or may have remote access on your system.

    Best regards
    Afschin Hormozdiary
  • 0 in reply to dna
    yesterday Bianca took remote and give idea how app ctrl log suppose to work .

    in (prv version) before 9.092 i was gettting application control log in application control log and after update it stop working but was told that some log are save/show at http log also that is again strange to me 

    why not keep app ctrl log in one place why in app ctrl and http log 

    1 more strage thing is that if i disable http proxy from dashboard then i get logs in app ctrl 
    still you want to take remote i am happy  reply here if you want remote 

    thx
    or bianca has login dtls
  • 0 in reply to utm_kid
    from http log 

    2013:04:24-15:07:59 acenn httpproxy[25212]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="68.232.44.139" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3005" request="0x210fe0b0" url="platform.twitter.com/.../javascript" application="TWITTER" 

    store log in prv version 

    2013:04:01-12:33:54 acenn ulogd[4820]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="11" outitf="eth1.50" mark="0x21fa" app="506" srcmac="0:c:29:7b:b4:8f" srcip="192.168.7.125" dstip="23.52.177.224" proto="6" length="229" tos="0x00" prec="0x00" ttl="63" srcport="42964" dstport="443" tcpflags="ACK PSH" 

    live log  

    11:42:24
    Application control rule #14
     Twitter
    192.168.7.125:48616→23.52.177.224:80[ACK PSH]len=447 ttl=63 tos=0x00 srcmac=0:c:29:7b:b4:8f


    Live log  work when i disable http proxy 

    now afc/app ctrl log is uesless to me now becase it does not log any log (unless i disable http proxy which i found very strange )


    thanks
  • 0 in reply to utm_kid

    2013:04:01-12:33:54 acenn ulogd[4820]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="11" outitf="eth1.50" mark="0x21fa" app="506" srcmac="0:c:29:7b:b4:8f" srcip="192.168.7.125" dstip="23.52.177.224" proto="6" length="229" tos="0x00" prec="0x00" ttl="63" srcport="42964" dstport="443" tcpflags="ACK PSH" 
    This would suggest that the rule was controlled by packet filter and not http proxy[:S]
    Are the rules that are not controlled by http proxy eg. bit-torrent logged in application filter?
    Regards
    Bill
  • 0 in reply to Billybob
    if i am using application control rule in application control for facebook to block and log  it suppose to show log in application control live/store(view ) log  ? 

    but here it is showing in  http log  

     2013:04:26-09:19:25 acenn httpproxy[6031]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="31.13.86.16" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3949" request="0x202e0800" url="www.facebook.com/.../like.php"FACEBOOK


    when  i disable http proxy and enale pf rule for web brwosing group i am getting  this log 
     2013:04:26-09:40:50 acenn ulogd[4947]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="14" outitf="eth1.50" mark="0x21fa" app="506" srcmac="0:c:29:7b:b4:8f" srcip="192.168.7.125" dstip="23.52.177.224" proto="6" length="358" tos="0x00" prec="0x00" ttl="63" srcport="42404" dstport="80" tcpflags="ACK PSH"  


    @bill the fwrule which you mention was from 9.090/1 rule before 9.091 till 9.092 and 9.1 i was getting messages in live and store log  before log i mention from prv version 

    Afschin (dna) i send ypu pm yesterday for remote  as per you quoated if i have created facebook rule in application control then it suppose to show log in application control --right

    still totaly confued with dna /tinkerbell statement


    EDIT  

    2013:04:26-10:56:03 acenn httpproxy[26844]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="31.13.86.16" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2981" request="0x2087d548" url="https://www.facebook.com/" exceptions="" error="" country="Ireland" category="195" reputation="trusted" categoryname="Social Networking" content-type="text/html" application="FACEBOOK"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4068" function="ssl_log_errors" file="ssl.c" line="79" message="C 192.168.7.125: 3941190512:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1256:SSL alert number 48"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4068" function="ssl_log_errors" file="ssl.c" line="79" message="C 192.168.7.125: 3941190512:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:989:"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.7.125" dstip="" user="" statuscode="000" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x206c4068" url="199.47.219.159" exceptions="" error=""

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4968" function="is_server_certificate_valid" file="ssl.c" line="683" message="Unable to get peer certificate"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.7.125" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x206c4968" url="46.105.99.93" exceptions="" error="Failed to verify server certificate"
Reply
  • 0 in reply to Billybob
    if i am using application control rule in application control for facebook to block and log  it suppose to show log in application control live/store(view ) log  ? 

    but here it is showing in  http log  

     2013:04:26-09:19:25 acenn httpproxy[6031]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="31.13.86.16" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3949" request="0x202e0800" url="www.facebook.com/.../like.php"FACEBOOK


    when  i disable http proxy and enale pf rule for web brwosing group i am getting  this log 
     2013:04:26-09:40:50 acenn ulogd[4947]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="14" outitf="eth1.50" mark="0x21fa" app="506" srcmac="0:c:29:7b:b4:8f" srcip="192.168.7.125" dstip="23.52.177.224" proto="6" length="358" tos="0x00" prec="0x00" ttl="63" srcport="42404" dstport="80" tcpflags="ACK PSH"  


    @bill the fwrule which you mention was from 9.090/1 rule before 9.091 till 9.092 and 9.1 i was getting messages in live and store log  before log i mention from prv version 

    Afschin (dna) i send ypu pm yesterday for remote  as per you quoated if i have created facebook rule in application control then it suppose to show log in application control --right

    still totaly confued with dna /tinkerbell statement


    EDIT  

    2013:04:26-10:56:03 acenn httpproxy[26844]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="31.13.86.16" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2981" request="0x2087d548" url="https://www.facebook.com/" exceptions="" error="" country="Ireland" category="195" reputation="trusted" categoryname="Social Networking" content-type="text/html" application="FACEBOOK"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4068" function="ssl_log_errors" file="ssl.c" line="79" message="C 192.168.7.125: 3941190512:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1256:SSL alert number 48"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4068" function="ssl_log_errors" file="ssl.c" line="79" message="C 192.168.7.125: 3941190512:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:989:"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.7.125" dstip="" user="" statuscode="000" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x206c4068" url="199.47.219.159" exceptions="" error=""

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4968" function="is_server_certificate_valid" file="ssl.c" line="683" message="Unable to get peer certificate"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.7.125" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x206c4968" url="46.105.99.93" exceptions="" error="Failed to verify server certificate"
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?