Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1900 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"error" domain in log

MojoQC
Hi,

I've been checking my traffic logs for a couple of days now because we had some abuses recently and I remarked something pretty odd. 


1 	error 	683.2 MB 	27.20


And the winner is error!!!! 

Now, error isn't a domain... What is that? And from what I've seen it's coming only from one user.

Any ideas? Failed download maybe?


This thread was automatically locked due to age.
  • 0
    Mojo, where does that line come from?

    Cheers - Bob
  • 0 in reply to BAlfson
    In my daily executive report in has error as the #1 domain in the TOP10 Domains by traffic.
  • 0
    I can't reproduce that. Can you provide background info for your system?
  • 0 in reply to Plancid
    In my daily executive report in has error as the #1 domain in the TOP10 Domains by traffic.


    I have a brand new Astaro 120 box acting a DHCP server, Web Filter, Email, IDS and more. I'm still learning what all Astaro does. I'm now trying to track down troublesome machines and I have one that has anywhere from 3 to 8 gigs of traffic a day all from domain "error". 

    I hope this is the info you needed.
  • 0
    Guys, if you want to get good answers here, you need to put more information in your questions.  Which section of the Executive Report?  Network Security?  Web Security?  Mail Security?

    In 'Reporting >> Network Usage' on the 'Accounting' tab, can you find the information you need?

    Cheers - Bob
  • 0 in reply to BAlfson
    Here is the information requested. The line (from my original post) comes from the "Web Security" menu which is a summary of the Web Security Executive report. It is the "Top domains by traffic" report.

    And when I am checking in "Reporting" >> Network Usage >> Accounting, I can see a couple of "No hostame found" but no errors.
  • 0
    I know this is streaming video traffic.  But I am yet to figure out which domain it is coming from.

    World cup games no doubt.
  • 0
    Thanks, Paul.  I was going to guess, since he recently had had abuse, MojoQC was seeing "error" because the offending domain had been erased.  If someone was browsing with a numeric IP instead of an FQDN, the IP would appear in the reports.

    Mojo, on the 'Accounting' tab, you can select "Top Servers By Service" :HTTP" for the day in question, and identify the IP by the traffic volume.  Is that IP still alive?  Is it a streaming media site like Paul thinks it might be?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks, Paul.  I was going to guess, since he recently had had abuse, MojoQC was seeing "error" because the offending domain had been erased.  If someone was browsing with a numeric IP instead of an FQDN, the IP would appear in the reports.

    Mojo, on the 'Accounting' tab, you can select "Top Servers By Service" :HTTP" for the day in question, and identify the IP by the traffic volume.  Is that IP still alive?  Is it a streaming media site like Paul thinks it might be?

    Cheers - Bob

    Thanks for the help guys.

    With your advice Bob, I finally found that the "error" traffic was actually coming from "a96-6-120-32.deploy.akamaitechnologies.com" on IP : 96.6.120.32.

    A little search on Google made me found it was a big company providing infrastructures from deploying app's or streaming videos... But how are my users accessing it? That's my question...

    Are they simply accessing a streaming video website (let's say youtube) that would be hosted by Akamai and then it gets into the "error" domain?

    Thanks,
    MojoQC