Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.200] inconsistent reporting for web

Mast_01
Hello,
after upgrading to 8.2 and reading about the vaunted new report system that should eliminate seeing useless IP addresses in reports i find that it still does just that...

letme be more clear:
in network security, i see resolved hostnames all over.
ASG is joined to the domain and is also using AD SSO
DNS forwarder is set to the AD DC IP first, there's also a static route for the FQDN of the domain pointing to the server.

Web proxy set as transparent with no authentication(agent is not transparent, browser is intrusive) but it should resolve the hostname per the release notes...
but no, all i see are IP addresses.

Also, there are big inconsistencies in traffic reports for web security
in top applications i have:
MegaUpload  1.7 GB  62.85
and i know this is correct for a fact, so then i look into Top User by time, which should show which user downloaded that and i get:
Total unique users: 5
Total traffic: 75.0 MB

wait... ¿what?, 75MB=1.7GB? where have the 1.63 remaining GB went?, ninja user? [:S]
And those 75MB are totally fake as there is like 120MB of facebook traffic as well.
Also, the top users is again showing only IP addresses which are useless, where are the resolved hostnames?

and the inconsistencies go further, in top site by traffic:
Total unique domains: 252
Total traffic: 1.0 GB
   Site  Traffic  %
1  megaupload.com  845.9 MB  79.19

again, where has the other half of the traffic gone? [:S]

at this point i can't trust those meters at all, how am i supposed to keep real track of who consumes what?


This thread was automatically locked due to age.
  • 0
    you have to use authentication on the web reporting for anything..otherwise it can't get username/authentication calls back and forth.  You need to use SSO then put the web proxy in some kind of authentication mode..be it standard with auth or transprent with auth..that's the only way get everything tied together.  This is just how things work and is not the fault of Astaro.  However i would not count of 8.2 working right now as the http proxy has serious issues yet to be worked out.
  • 0
    As William said, it can't work without some form of authentication method used, which is why the client form of authentication was added.  The reason has to do with how browsers are programmed to work on the client.  If a  browser is set to use a proxy, it will add NTLM authentication information (username) into the packets.  If no proxy is set (transparent mode) in the browser, this information is not added.
  • 0
    Here's a thought.  From what you've posted above, you've setup forward lookups (name to IP), but not reverse lookups (IP to name).

    Try adding  a request route for your internal subnet to your internal DC/DNS server reverse lookup zone.  If your internal subnet is 192.168.1.0/0, then it would be 1.168.192.in-addr.arpa --> DC.
  • 0
    Scott, i don't know if the DC has reverse lookup, it's not a MS requirement anymore for a long time, i'm going to check and if i have it will try adding the reverse lookup.

    Even if i don't use auth, why isn't it resolving the IP to hostnames when the rest of the system is resolving them.
    And leaving the matter of IP aside, any thoughts on the inconsistencies in traffic and reporting?

    i've checked again today, in web reporting:
    i select "users" for today i get ONLY 3 IPs from my internal network: .16 .22 .1
    that's odd, missing stations....
    so i go to either sites/domains/urls and click one of them to see who entered and there is .20 .22 .16
    same inconsistency for every other site, along with the traffic numbers...

    should i open a support case?
  • 0
    should i open a support case?

    Given how new 8.200 is and that this is a user-to-user forum, this would probably be your best bet for a quick definitive answer.  Please post back what you find out for others.