WebProtection Logging bei Zugriff über Active-Directory Gruppen

Hallo Marcel,

bitte überprüfe hier folgende Optionen:

Arbeitest du mit mehreren Profilen? Dann schau bitte, ob auf dem ausgewählten Profil auch AD SSO ausgewählt wurde.

Siehst du im Log HTTP 200 Pass und unter User=" " einen Username?

Hier arbeitet der Proxy mit folgenden Aufbau:

Profil

Policy

Filteraction.

Bedeutet erst wird das Profil ausgewählt anhand der Source IP.

Danach die Policy anhand der Authentication

Danach die dementsprechende Filteraction.

Die Ursache sollte hier an der Auswahl der Policy sein.

Sollte hier im Log nichts erscheinen (keine Log Einträge, obwohl du über den Proxy gehst), dann könnte hier folgende Option deaktiviert haben:

Web Protection > Webfilter > Richtlinien> Zusätzliche Optionen >

Aktivitätsprotokollierung

Sie können festlegen, welche Aktivitäten protokolliert werden:

• Besuchte Seiten protokollieren: Mit dieser Funktion werden Informationen über alle Seiten protokolliert, die über UTM besucht wurden.
• Blockierte Seiten protokollieren: Mit dieser Funktion werden Informationen über Seiten protokolliert, für die der Zugriff blockiert wurde

Hallo und vielen Dank für die schnelle Antwort :).

Es gibt nur eine aktive Policy und genutzt wird das Default Profile mit Basic Authentication.

Die Checkboxen beim Activity Logging habe ich geprüft, diese sind gechecked.

Hier ein Screenshot des Reportings.

In schwarz ist mein Test-User der einzeln an die Policy gehängt ist, grün sind Geräte die auf Exceptions wie Adobe o.ä zugreifen (also ohne Benutzerabfrage) und in rot ist das Problem. Dieser User sind Mitglied der Active-Directory-Gruppe die an der Policy hängt. Man sieht zwar Requests aber keinerlei Traffic.

Vielen Dank für jede hilfreiche Antwort schon mal :)

Hallo und vielen Dank für die schnelle Antwort :).

Es gibt nur eine aktive Policy und genutzt wird das Default Profile mit Basic Authentication.

Die Checkboxen beim Activity Logging habe ich geprüft, diese sind gechecked.

Hier ein Screenshot des Reportings.

In schwarz ist mein Test-User der einzeln an die Policy gehängt ist, grün sind Geräte die auf Exceptions wie Adobe o.ä zugreifen (also ohne Benutzerabfrage) und in rot ist das Problem. Dieser User sind Mitglied der Active-Directory-Gruppe die an der Policy hängt. Man sieht zwar Requests aber keinerlei Traffic.

Vielen Dank für jede hilfreiche Antwort schon mal :)

Gibt es hierfür ein Fix oder einen Workaround?

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

Hi, Marcel, and welcome to the UTM Community!

Without pictures where we can see real, raw information, it's difficult to guess where your mis-configuration might be.  Please insert a picture of the Edit of the Policy with the AD Group that's acting strangely along with the Edit of the Group definition.  Also, a picture of the last tab of the Filter Action.  Also, any Exception that affects this Group.  Also, the top of the 'Exceptions' tab in 'Logging & Reporting >> Reporting Settings'.

Paste a line or two from the Web Filtering log file where one of the unreported Group members made a successful access.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Bob,

vielen Dank für deine Antwort.

Bisher konnte ich bei weiteren Tests feststellen das dieses Problem sich umgehen lässt wenn ich statt einer Gruppe die User direkt der Policy hinzufüge, 

was aber kein praktikabler Zustand ist. Benutzer die über die Gruppe zugreifen werden zwar im Web-Usage-Report erfasst, aber hier wird kein Traffic erfasst...hier steht einfach nur "0 B", bei den Requests steht hingegen aber eine realistische Zahl an Zugriffen.

Die die erfolgreichen Requests aus dem Log: (habe sensible Daten mit ***CENSORED*** ersetzt)

2016:10:12-08:52:17 zsfw-proxy1 httpproxy[5658]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.190.101" dstip="2a00:1450:4001:81c::200e" user="germal" group="***CENSORED*** Group-Membership "internet"" ad_domain="***CENSORED***" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCff***CENSORED***DefauConte (***CENSORED*** - Default Filter Action)" size="3002" request="0xdfd2ac00" url="https://clients4.google.com/" referer="" error="" authtime="71" dnstime="100073" cattime="157" avscantime="0" fullreqtime="177465967" device="0" auth="1" ua="Mozilla/5.0 (X11; Linux i686; rv:49.0) Gecko/20100101 Firefox/49.0" exceptions="" category="178" reputation="neutral" categoryname="Internet Services" application="google" app-id="182"

2016:10:12-08:54:12 zsfw-proxy1 httpproxy[5658]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.190.142" dstip="54.239.37.186" user="ckroencke" group="***CENSORED*** Group-Membership "internet"" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCff***CENSORED***DefauConte (***CENSORED*** - Default Filter Action)" size="5193" request="0xdba8c400" url="https://fls-eu.amazon.com/" referer="" error="" authtime="6" dnstime="4" cattime="262" avscantime="0" fullreqtime="32378623" device="0" auth="1" ua="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.50 Safari/537.36" exceptions="" category="136" reputation="trusted" categoryname="Online Shopping" application="amazon" app-id="22"

2016:10:12-08:54:12 zsfw-proxy1 httpproxy[5658]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="192.168.190.142" dstip="2a00:1450:4001:81d::2003" user="ckroencke" group="***CENSORED*** Group-Membership "internet"" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCff***CENSORED***DefauConte (***CENSORED*** - Default Filter Action)" size="4579" request="0xe05ad200" url="https://www.google.de/" referer="" error="" authtime="24" dnstime="4" cattime="148" avscantime="0" fullreqtime="43080701" device="0" auth="1" ua="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.50 Safari/537.36" exceptions="" category="145" reputation="neutral" categoryname="Search Engines" application="google" app-id="182"

2016:10:12-08:54:13 zsfw-proxy1 httpproxy[5658]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.190.110" dstip="" user="kschulze" group="***CENSORED*** Group-Membership "internet"" ad_domain="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_HttCff***CENSORED***DefauConte (***CENSORED*** - Default Filter Action)" size="3228" request="0xe12df800" url="https://www.google-analytics.com/" referer="" error="" authtime="8" dnstime="0" cattime="0" avscantime="0" fullreqtime="206281" device="0" auth="1" ua="Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0" exceptions="" overridecategory="1" overridereputation="1" reason="category" category="154" reputation="unverified" categoryname="Web Ads"
 

One thing to try is to edit the group definition to just Internet.  I thought they'd fixed that old bug, but maybe it's back.  In any case, it won't hurt to make the change from the Distinguished Name to the content of the CN.

The first three log lines have a fullreqtime that's so long that I suspect the user got a timeout and that there was no traffic.  In fact, that would account for the Report in your first post.

MfG - Bob (Bitte auf Deutsch weiterhin.)