Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1971 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Executive Report: Traffic domain called "error"

James Bourne
I notice in the daily executive report that sometimes "error" appears in the list of Top 10 Domains by Traffic.

Also sometimes the TOP10 clients by traffic is "anonymous".

Anyone else see this? Bug?


This thread was automatically locked due to age.
Parents
  • 0
    As Gert told here:

    the domain 'error' are the amount of requests that created an error by either suppliyng a broken URL or various other reasons.


    As to the 'anonymous' user, I found no place in the reporting code where a user name defaulted to anonymous. Did you define a user called 'anonymous' in the Webadmin? Can you grep your http.log for occurrences of this user name?

    Regards,
     andreas
  • 0 in reply to andreas
    Here's a couple of screen grabs from a recent executive report.. 85.1Mb of "error" seems very high for broken URL's or various other reasons? Can you elaborate on what "various other reasons" actually means?

    We don't have an anonymous user in Webadmin. I checked the squid log files on one of the days in question - and there was no matching line. The HTTP proxy is setup in transparent mode and caching is turned off.
  • 0 in reply to James Bourne
    I've been testing with FTP Proxy;

    Different ISO's Debian downloaded as TEST for another user of the Forum....
    It was downloaded first to astaro (anonymous?) and than forwarded to the user.

    Maybe thats the answer for the anonymous user logging.
    The error never seen in the LOGS
  • 0 in reply to SilverOne
    The "error" only comes up when the http proxy logs lines which can not be successfully processed. As far as I know, there was a bug in the past which would lead to such lines, but I do not know if the fix has already been released. Log lines like this one (for example)

     httpproxy[14242]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" srcip="10.128.129.60" user="" url="http/" method="" size="0"

    lead to an "error" entry - the reporter tries to process the "url" value, which obviously won't work here. I can't give you more detail on when the proxy logs invalid lines, this is not my field of expertise.

    I am still a bit puzzled by the "anonymous" user. Silverone's scenario sounds reasonable, but since the reporting backend does not invent user names, the anonymous should be visible in the log file, too. James, could you provide me one of your http.log files from a day where "anonymous" is in the reports? I'll run it through the parser and inspect the debug output.

    Cheers,
     andreas
  • 0 in reply to andreas
    Andreas,

    This is a part of the FTP Proxy log of that day:

    2007:09:05-19:50:26 (none) frox[13056]: Command opts not implemented
    2007:09:05-19:56:58 (none) cffd[10070]: id="0102" severity="info" sys="SecureWeb" sub="ftp" name="send file, clean" srcip="130.89.175.33" destip="192.168.2.160" url="ftp://130.89.175.33" user="anonymous" file="debian-update-4.0r1-i386-CD-2.iso" size="867546564" 
    2007:09:05-19:58:17 (none) frox[13364]: Command opts not implemented
    2007:09:05-19:58:19 (none) frox[13056]: 192.168.2.160 DOWNLOADED ftp://anonymous@130.89.175.33/%2fdebian-cd%2f/%2fdebian-cd%2f/current/%2fdebian-cd/%2fdebian-cd%2f4.0_r1%2f/%2fdebian-cd%2f4.0_r1%2fi386%2f/%2fdebian-cd%2f4.0_r1%2fi386%2fbt-cd%2f/%2fdebian-cd%2f4.0_r1%2fi386%2fiso-cd%2f/%2fdebian-cd%2f4.0_r1%2fi386%2fiso-cd%2f/%2fdebian-cd%2f4.0_r1%2fi386%2fiso-cd%2f/%2fdebian-cd%2f4.0_r1%2fi386%2fiso-cd%2f/debian-update-4.0r1-i386-CD-2.iso  CLEAN
    2007:09:05-20:01:08 (none) frox[13056]: 192.168.2.160 DOWNLOADED ftp://anonymous@130.89.175.33/%2fdebian-cd%2f/%2fdebian-cd%2f/

    The Anonymous would be the login user off FTP
  • 0 in reply to SilverOne
    Andreas

    This error domain has only occured since 7.008 for me.  it is always my number 1 domain,  seeing a i have 60GB of traffic, of which 2.8 GB is this error domain I would say this is a major issue.  I reported this under case 52922 and got this response

    Dear Sir,

    in some cases (invalid or emtpy URLS) the http proxy logs "http/" as URL. Obviously, those can't be split and are reported as "error". The fact that those came up with a particular up2date package is probably due to a change in the http proxy rather than a reporting change. We decided not to fix this since we're planning to exchange the http proxy in 7.100 anyway. 


    So is this the case?  Will we all have to wait?

    If you would like my logs just ask..  :-)
Reply
  • 0 in reply to SilverOne
    Andreas

    This error domain has only occured since 7.008 for me.  it is always my number 1 domain,  seeing a i have 60GB of traffic, of which 2.8 GB is this error domain I would say this is a major issue.  I reported this under case 52922 and got this response

    Dear Sir,

    in some cases (invalid or emtpy URLS) the http proxy logs "http/" as URL. Obviously, those can't be split and are reported as "error". The fact that those came up with a particular up2date package is probably due to a change in the http proxy rather than a reporting change. We decided not to fix this since we're planning to exchange the http proxy in 7.100 anyway. 


    So is this the case?  Will we all have to wait?

    If you would like my logs just ask..  :-)
Children
  • 0 in reply to Mike_H
    So what's the HTTP proxy going to be replaced with?
  • 0 in reply to Mike_H
    Hi

    Any idea when 7.100 is coming out?
  • 0 in reply to Mike_H
    Andreas,

    This is a part of the FTP Proxy log of that day:
    2007:09:05-19:56:58 (none) cffd[10070]: id="0102" severity="info" sys="SecureWeb" sub="ftp" name="send file, clean" srcip="130.89.175.33" destip="192.168.2.160" url="ftp://130.89.175.33" user="anonymous" file="debian-update-4.0r1-i386-CD-2.iso" size="867546564" 
    The Anonymous would be the login user off FTP


    This explains it perfectly. If a "user" value is present, the user will be shown in the reporting, only if it is missing the source ip will be shown instead.


    This error domain has only occured since 7.008 for me.  it is always my number 1 domain,  seeing a i have 60GB of traffic, of which 2.8 GB is this error domain I would say this is a major issue.  I reported this under case 52922 and got this response 
    [..]

    So is this the case?  Will we all have to wait?



    I have only seen those "error" entries for broken URLs such as described in the case id. When I asked about when those errors will be fixed I got the same answer, so yes - we'll all have to wait.

    On the positive side (regarding releasing schedules and time estimates): as far as I am informed, no further up2date packages are planned between 7.009 and 7.100 (unless anything serious needs to be fixed fast). For release dates, it's usually better to ask support or sales, they have more information than us mere techies [:P]

    Cheers,
     andreas