Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 30 replies
  • Subscribers 0 subscribers
  • Views 10672 views
  • Users 0 members are here
Options
Suggested

[9.091][CLOSEDupREQ] Application control log not working

utm_kid
Hello , 

Application control live and view log not working 
tested with ff and chrome with cache reset many times 

pls let me know which log will help 

thanks
  • 0 in reply to utm_kid
    Like I said, I don't know how the log worked previously but if it works anything like the packet filter log then the traffic using proxies won't be logged as expected and I don't think the behavior will change this close to the end of the beta. 

    Only thing that bothers me a little bit is that application control blocks applications regardless of the status of the proxy server / packet filter and if you block an application via application control, it probably should be logged in the application log also specially when it clearly marks it as such in the proxy logs.

    2013:04:19-16:20:15 gatekeeper httpproxy[6752]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.0.10" dstip="173.194.43.39" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2992" request="0x17980510" url="http://www.youtube.com/favicon.ico" exceptions="" error="" country="United States" category="147" reputation="neutral" categoryname="Streaming Media" content-type="image/x-icon" application="YOUTUBE"

    Regards
    Bill
  • 0 in reply to Billybob
    i am using this app ,some are delete 

    there are some app which are configure for 2 network for ex .facebook is allow on sony network which has again is http proxy profile and facebook block for all 

    there are some application group  (using 1 application name and many application block , like china with 1 app but block many web and app from china )
    try to add twitter ,facebook and youtube 

      0 'REF_AppRulRtmpso' [rtmpso]
       1 'REF_AppRulFacebookso' [facebooksony]
       2 'REF_AppRulYoutuBlockSony' [YouTube blocked sony]
       3 'REF_AppRulHttpFromAny' [HTTP]
       4 'REF_AppRulRtmp' [rtmp]
       5 'REF_AppRulGoogle' [google+]
       6 'REF_AppRulFacebook' [facebook]
       7 'REF_AppRulYoutuBlockVia' [YouTube blocked via inline reporting]
       8 'REF_AppRulSkype' [skype]
       9 'REF_AppRulDropbox' [dropbox]
      10 'REF_AppRulIrc' [irc]
      11 'REF_AppRulTorproxy' [torproxy]
      12 'REF_AppRulTwitter' [twitter]
      13 'REF_AppRulAaa' [aaa]
      14 'REF_AppRulBittorrent' [bittorrent]
      15 'REF_AppRulChina' [china

    thanks
  • 0
    Hi utm_kid,

    i tried to reproduce what you describe, but could not find any anomalies.
    Application control logs results either in http.log or afc.log.
    Packets are logged where they are processed (afcd or httpproxy).
    If something is shown in one of the logfiles depends on the configuration of httpproxy logging (advanced tab)
    and the logging option in the app-ctrl rule definitions.

    If you have enabled,for example, an app-ctrl rule definition for facebook (accept and log):
    If your client surfs to facebook using the httpproxy without ssl-scanning, those flows are logged in http.log. As the login-page of facebook usually uses ssl and httpproxy cannot handle it without ssl-scanning enabled, it bypasses the proxy and is handled by afcd. Those bypassing-ssl-requests are logged in afc.log while the rest of the facebook-traffic (http) is logged in http.log.

    If you think your installation really does not log where it should log (and where it has logged in previous releases), then please have a brief description of the differences in behaviour. With a description of "what has changed in your opinion" i could try to reproduce it or may have remote access on your system.

    Best regards
    Afschin Hormozdiary
  • 0 in reply to dna
    yesterday Bianca took remote and give idea how app ctrl log suppose to work .

    in (prv version) before 9.092 i was gettting application control log in application control log and after update it stop working but was told that some log are save/show at http log also that is again strange to me 

    why not keep app ctrl log in one place why in app ctrl and http log 

    1 more strage thing is that if i disable http proxy from dashboard then i get logs in app ctrl 
    still you want to take remote i am happy  reply here if you want remote 

    thx
    or bianca has login dtls
  • 0 in reply to utm_kid
    from http log 

    2013:04:24-15:07:59 acenn httpproxy[25212]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="68.232.44.139" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3005" request="0x210fe0b0" url="platform.twitter.com/.../javascript" application="TWITTER" 

    store log in prv version 

    2013:04:01-12:33:54 acenn ulogd[4820]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="11" outitf="eth1.50" mark="0x21fa" app="506" srcmac="0:c:29:7b:b4:8f" srcip="192.168.7.125" dstip="23.52.177.224" proto="6" length="229" tos="0x00" prec="0x00" ttl="63" srcport="42964" dstport="443" tcpflags="ACK PSH" 

    live log  

    11:42:24
    Application control rule #14
     Twitter
    192.168.7.125:48616→23.52.177.224:80[ACK PSH]len=447 ttl=63 tos=0x00 srcmac=0:c:29:7b:b4:8f


    Live log  work when i disable http proxy 

    now afc/app ctrl log is uesless to me now becase it does not log any log (unless i disable http proxy which i found very strange )


    thanks
  • 0 in reply to utm_kid

    2013:04:01-12:33:54 acenn ulogd[4820]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="11" outitf="eth1.50" mark="0x21fa" app="506" srcmac="0:c:29:7b:b4:8f" srcip="192.168.7.125" dstip="23.52.177.224" proto="6" length="229" tos="0x00" prec="0x00" ttl="63" srcport="42964" dstport="443" tcpflags="ACK PSH" 
    This would suggest that the rule was controlled by packet filter and not http proxy[:S]
    Are the rules that are not controlled by http proxy eg. bit-torrent logged in application filter?
    Regards
    Bill
  • 0 in reply to Billybob
    if i am using application control rule in application control for facebook to block and log  it suppose to show log in application control live/store(view ) log  ? 

    but here it is showing in  http log  

     2013:04:26-09:19:25 acenn httpproxy[6031]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="31.13.86.16" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3949" request="0x202e0800" url="www.facebook.com/.../like.php"FACEBOOK


    when  i disable http proxy and enale pf rule for web brwosing group i am getting  this log 
     2013:04:26-09:40:50 acenn ulogd[4947]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="14" outitf="eth1.50" mark="0x21fa" app="506" srcmac="0:c:29:7b:b4:8f" srcip="192.168.7.125" dstip="23.52.177.224" proto="6" length="358" tos="0x00" prec="0x00" ttl="63" srcport="42404" dstport="80" tcpflags="ACK PSH"  


    @bill the fwrule which you mention was from 9.090/1 rule before 9.091 till 9.092 and 9.1 i was getting messages in live and store log  before log i mention from prv version 

    Afschin (dna) i send ypu pm yesterday for remote  as per you quoated if i have created facebook rule in application control then it suppose to show log in application control --right

    still totaly confued with dna /tinkerbell statement


    EDIT  

    2013:04:26-10:56:03 acenn httpproxy[26844]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="GET" srcip="192.168.7.125" dstip="31.13.86.16" user="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2981" request="0x2087d548" url="https://www.facebook.com/" exceptions="" error="" country="Ireland" category="195" reputation="trusted" categoryname="Social Networking" content-type="text/html" application="FACEBOOK"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4068" function="ssl_log_errors" file="ssl.c" line="79" message="C 192.168.7.125: 3941190512:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1256:SSL alert number 48"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4068" function="ssl_log_errors" file="ssl.c" line="79" message="C 192.168.7.125: 3941190512:error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure:s3_pkt.c:989:"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="" srcip="192.168.7.125" dstip="" user="" statuscode="000" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x206c4068" url="199.47.219.159" exceptions="" error=""

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x206c4968" function="is_server_certificate_valid" file="ssl.c" line="683" message="Unable to get peer certificate"

    2013:04:26-10:56:06 acenn httpproxy[26844]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="" srcip="192.168.7.125" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction=" ()" size="0" request="0x206c4968" url="46.105.99.93" exceptions="" error="Failed to verify server certificate"
  • 0
    Hi,

    i try to clarify using an example. Having an appctrl rule for facebook (block + log) in place...
    httpproxy + ssl scanning + application control enabled => logging HTTP and HTTPS traffic to http.log
    httpproxy + no ssl scanning + application control enabled => logging HTTP to http.log -- HTTPS and other protocols to afc.log
    application control enabled => HTTP HTTPS and other protocols to afc.log

    This example makes the assumption that the client uses the httpproxy (allowed network) if it is enabled.
    If the httpproxy is configured not to serve for the client, its traffic will be logged in afc.log

    @utm_kid: hope that helps, if not send me the credentials to your box and the client behind it.

    Best regards,
    Afschin
  • 0 in reply to dna
    Thanks Afschin , 

    this make make clear 

    i am using senario 1st  httpproxy + ssl scanning + application control enabled => logging HTTP and HTTPS traffic to http.log  that make much clear 

    so there was bug in prvious version [:D]

    thanks
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?