firewall analyzer

UTM does have a number of useful built-in reports that you can use.

UTM does have a number of useful built-in reports that you can use.

does UTM built-in live attack report?

does UTM built-in live attack report?

There are several live logs (as well as full logs (saved logs after events have happened), including IPS and firewall live logs.

At work we use an analyzer called Firegen for our firewall logs which will handle several different log formats.  I wanted to mention it since on the Firegen web site they have a free not-for-resale version they will provide to anyone with a CISSP or CIEE certification.  I just had to send them my CISSP number to obtain a license, but I only installed UTM recently at home and haven't tried Firegen yet with the UTM logs.

Looks promising, but I cant get it to recognise the logs.
have you talked to firegen about getting the parsing of the Sophos UTM logs at all?

masoudjalilian, have you configured 'Management >> Notifications' in WebAdmin?  What problem are you trying to solve that a live report would help?

Cheers - Bob

Have you looked at using ELK (Elastic search)?, there is even filter definition for UTM on github.

Looks promising, but I cant get it to recognise the logs.
have you talked to firegen about getting the parsing of the Sophos UTM logs at all?

After mentioning Firegen earlier in the thread, Firegen has since come out with a new version (3.34) that noted that they added support for the Sophos logs.  I tried it and had problems, but Firegen support was able to tell me how to configure it and it works now with my Sophos logs.  If anyone is interested they have a trial version on their web site.

What did you do to get it working

It fails to even find their test log, which is there.

What did you do to get it working

It fails to even find their test log, which is there.

Sorry I didn't notice your post earlier.  I sent them a few entries from my Sophos log for an example, and these are the directions they sent back for my log:

1. In the Log profiles tab, create a new log profile
2. Browse to one of your log files.
3. As before, Firegen will probably fail to identify the log format
4. Verify if the log naming convention was identified correctly. If you just analyze logs that you saved then you don’t need to worry too much about the naming convention as you will analyze the logs on demand.
5. Click on New pattern 
6. In the Log entry parsing syntax enter:

(\d{4}): (\d\d): (\d\d)-(\d\d:\d\d:\d\d) .*?(log).*?id="(\d+)" (.+)
My note-I had to add spaces after each colon, this board was seeing the two characters : and ( together as a sad face [:(]

Note: Since the log sample that you sent us does not contain a field to identify the firewall itself, we have set the parsing syntax to use “log” as the firewall identifier (this appears in all the log entries).

7. In the Field mapping enter:

5,1,2,3,4,6,7

10. "Has year" checkbox should be checked        
11. Set the Firewall type as Sophos UTM
12. Save
13. Click Test pattern to verify that the information is matched properly.
...
There was some sample output and info I can send if needed.

They also updated the version on their web site for the 30-day trial to v3.35 which included changes they made for the Sophos logs.