Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1295 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Odd item on the daily executive report

kwyrick
I had an odd item pop up on the daily executive report today. I like the reports for Sunday because there shouldn't be any users on the network and it makes it easy to spot unauthorized network traffic or applications phoning home.
 I have an item on the TOP 10 SERVICES section for MAYTAGSHUFFLE and port 2591 but I can't find any reference to port 2591 in ANY of the log files for that day. 
 What gives? isn't it just a little strange there would be a reported occurrence of a service being used but show up nowhere in the log files? I even searched the offline log files I store on a remote server, NADA. ??


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Billybob
    Perhaps it SHOULD be in my packet filter logs but it isn't. Any other ideas? The only information given in the report is the service name, port, protocol (tcp) connections, traffic and % of total.
  • 0 in reply to kwyrick
    Sorry, I believe this is a bug and I have submitted it to the beta forum here. If you have anything further to add to my post, please feel free to do so.
    Regards
    Bill.
  • 0 in reply to Billybob
    If the traffic was being allowed out via a packet filter rule, it will only show up in the logs if the rule had logging enabled. Do you have a packet filter rule that allows any service enabled?
  • 0 in reply to dilandau
    Good catch dilandau; I however have logging enabled for everything for beta testing[;)] and am still missing a few protocols. I will add more findings to my beta report as I test this some more. Some kind of clarity from astaro folks would be nice. 
    For example different proxy traffic can't be seen by regular packet filter but it is counted in top protocols somehow. Don't know how that data is gathered.
    Regards