[9.186][QUESTION] Filter Profiles questions

The rules are read in order.  First it chooses the appropriate Profile, starting from the top and going down to find the first match.  After that it selected it looks at the Policies, again in order.

If you have an Endpoint with Web Control turned on, it will find the first profile that has that endpoint group in it.  If there are no profiles with an endpoint group then uses the Default Web Filter Profile.

There should be no need for the profile that has the Endpoint in it to have any Allowed Networks.  If it suddenly starts working then that is likely because the UTM is enforcing it -- if you moved a laptop with Endpoint to a coffee shop you would not be enforced.

Most likely there is a problem with the connection or policy transfer transfer - I just saw this on another thread, please take a look for a potential fix.
https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65369

Do you have an /var/log/eplog.log? (Endpoint Web Protection log in the UI)  If not then it indicates there is a problem in the UTM->LiveConnect->EP->LiveConnect->UTM connection.  What is your utm id (found on the Endpoint Advanced page)?

Hi Michael,
Here is what I see when I click open ep live log
2013:12:16-14:32:27 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:32:27 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159"
2013:12:16-14:33:20 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:33:20 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159"
2013:12:16-14:34:13 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:34:13 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159"
2013:12:16-14:35:06 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:35:06 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159"
2013:12:16-14:36:54 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:36:55 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159"
2013:12:16-14:37:48 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:37:48 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159"
2013:12:16-14:38:41 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:38:41 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159"
2013:12:16-14:39:34 astaro epsecd[5303]: I id="4211" severity="info" sys="System" sub="epsecd" name="Received report(s) from Sophos LiveConnect"
2013:12:16-14:39:34 astaro epsecd[5303]: I id="4212" severity="info" sys="System" sub="epsecd" name="Acknowledging report(s)" reports="3722159" 

the /var/log/eplog.log is empty

My UTM id is:   18375d81-281f-3081-8ef9-5c1e8f8e15e0

Thank you

On the windows machine can you do the following:
Run regedit and go here:
(32bit) HKLM\SOFTWARE\Sophos\Web Intelligence
(64bit) HKLM\SOFTWARE\Wow6432Node\Sophos\Web Intelligence
Create a DWORD called "LogLevel" and set to 3.
Then go into the \Web Control
Create another DWORD called "LogLevel" and set to 3.

Visit a single HTTP website.

Post the file c:\Windows\Temp\swisdiag.log here or PM it to me.

Note: Make should set the LogLevel back to 0 for both, otherwise you the log file will eventually fill your HDD.

Hi Michael, 
I have done as requested and I don't see anything anywhere. I don't get a file in the windows\temp folder either. This is windows 7 64. I added the requested registry settings for 64 bit as well. I know the machine is talking to ep since it does show online. Not sure where to go at this point. I now have it as the first policy in the list as well with only endpoint groups in the list. Not sure where to go from here.

Thanks for your time

There are actually several communication paths that the Endpoint does with the servers and the UTM.  The configuration and communication for Antivirus and Device Control uses one mechanism, while the Web Control uses a different server.  Therefore it is entirely possible that you have normal Endpoint working correctly with Web Control not working.

Are you sure you created the registry entries correctly?
The location HKLM\SOFTWARE\Wow6432Node\Sophos\Web Intelligence should already exist.  You created a new DWORD value called "LogLevel" and set to 3?  Same with in the \Web Intelligence\Web Control?

Can you open Endpoint and confirm on the left side it says Web control:Enabled?

Though this should not make a difference, on the profile you are using for the endpoints, can you make sure that Authentication is set to None.

I double checked everything here. Still no go. I have 2 machines now setup for it and neither work. 1 is a desktop and one is a laptop. I have double checked all the settings and all including the logging settings are correct. I am testing on win7 but I have a 3rd machine on winxp. Will that be supported as well? I don't even see any of the we registry settings on that machine.

On a 32-bit computer there is no wow6432 in the registry, but it should be there/

Either the registry entry is not correct or the file is being created in a different place.  I'm not entirely sure what it is using to determine where to put the file, on my computers it is c:\windows\temp.  Though it should not be there, you could try looking in %temp%.  Perhaps do a file find on the whole hardrive (or at least in the Windows and the User directories).

Can do you a screenshot of the regedit just in case?

Please see attached pics. 1 and 2 are showing the loglevel set. I did exact case when I did it. 3rd pic is showing searching the whole system at the command line. No file with the name you requested shows up in the system. I dug around some but if it is writing I sure don't know where.

added another attachment. I did manage to get the log on xp. not sure why on win7. That log does grow quick.

I'm running out of ideas...

What version of Endpoint are you running?
If you load Endpoint then go to View Product Information.  The overall version should be "10.3 UTM"  The Web Control version is "10.0.4".

Just in case, reboot.
Run services.msc
Make sure that Sophos Web Intelligence Service and Sophos Web Control Service are Started.

If all else fails, try uninstalling, getting a fresh copy of the installer (Slim version) from the UTM, and reinstalling.