Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2310 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.300] "Today's threat status" shows wrong values

wingman
Hi All

It seems that the relevant section in my dashboard is not resetting the values every day as per previous versions. 

The attached dashboard is what I see for the past 4 days and I can confirm that this is not the case. For example I can see the relevant IPS entries under the "network security>IPS: Top blocked attacks" but when I go to the "Network Security>IPS " statistics there is no information for today/yesterday. The correct entries were for 5 days ago 

Thanks


This thread was automatically locked due to age.
  • 0
    I have tried the following commands

    # psql -Ureporting -c"reindex database reporting;" reporting
    # psql -Ureporting -c"vacuum;" reporting

    let's see if tomorrow I will get the correct values

    Also I recently (4 days ago) re-indexed the database due to reporting issues using the commands on this post. Maybe is this related?

    Also I couldn't find any related in system log/middleware

    Thanks
  • 0
    Hi,
    wir couldn´t reproduce it here. Look in /var/log/reporting/inline/ whether the entries aren´t older than 30 min.

    Cheers,
    Masoumeh
  • 0
    Hi Masoumeh

    Same issue today. I got the exact same report under "Today's Threat status"

    The entries are indeed older than 30 minutes

    ****:/var/log/reporting/inline # ls -la
    total 256
    drwxr-xr-x 5 root root  4096 2011-12-31 19:32 .
    drwxr-xr-x 9 root root  4096 2012-01-04 15:15 ..
    -rw-r--r-- 1 root root  6052 2011-12-31 19:17 application_control.ph
    -rw-r--r-- 1 root root  1260 2011-12-31 19:17 dashboard.ph
    -rw-r--r-- 1 root root  8924 2011-12-31 19:17 email_security.ph
    -rw-r--r-- 1 root root   908 2011-10-01 02:47 imp2p_security.ph
    drwxr-xr-x 2 root root  4096 2012-01-01 04:38 last_30
    drwxr-xr-x 2 root root  4096 2012-01-02 03:39 last_7
    -rw-r--r-- 1 root root   320 2011-12-31 19:17 logging.ph
    -rw-r--r-- 1 root root  1811 2011-12-31 19:32 management.ph
    -rw-r--r-- 1 root root 54886 2011-12-31 19:17 net_security.ph
    -rw-r--r-- 1 root root 75670 2011-12-31 19:17 network.ph
    -rw-r--r-- 1 root root   456 2011-12-31 19:17 voip_security.ph
    -rw-r--r-- 1 root root   775 2011-12-31 19:17 vpn.ph
    -rw-r--r-- 1 root root   941 2011-12-31 19:17 waf.ph
    -rw-r--r-- 1 root root 47258 2011-12-31 19:17 web_security.ph
    drwxr-xr-x 2 root root  4096 2012-01-04 00:21 yesterday


    I think there is something wrong here [:)]
  • 0
    checking the relevant logs today I can see the same dates


    loginuser@*****:/home/login > ls -la /var/log/reporting/inline
    total 256
    drwxr-xr-x 5 root root  4096 2011-12-31 19:32 .
    drwxr-xr-x 9 root root  4096 2012-01-05 10:15 ..
    -rw-r--r-- 1 root root  6052 2011-12-31 19:17 application_control.ph
    -rw-r--r-- 1 root root  1260 2011-12-31 19:17 dashboard.ph
    -rw-r--r-- 1 root root  8924 2011-12-31 19:17 email_security.ph
    -rw-r--r-- 1 root root   908 2011-10-01 02:47 imp2p_security.ph
    drwxr-xr-x 2 root root  4096 2012-01-01 04:38 last_30
    drwxr-xr-x 2 root root  4096 2012-01-02 03:39 last_7
    -rw-r--r-- 1 root root   320 2011-12-31 19:17 logging.ph
    -rw-r--r-- 1 root root  1811 2011-12-31 19:32 management.ph
    -rw-r--r-- 1 root root 54886 2011-12-31 19:17 net_security.ph
    -rw-r--r-- 1 root root 75670 2011-12-31 19:17 network.ph
    -rw-r--r-- 1 root root   456 2011-12-31 19:17 voip_security.ph
    -rw-r--r-- 1 root root   775 2011-12-31 19:17 vpn.ph
    -rw-r--r-- 1 root root   941 2011-12-31 19:17 waf.ph
    -rw-r--r-- 1 root root 47258 2011-12-31 19:17 web_security.ph
    drwxr-xr-x 2 root root  4096 2012-01-05 00:21 yesterday


    I am still getting the same values in my dashboard. How can I resolve the issue ? (I don't want to rebuild the whole database as I will lose the logs)

    Thanks
  • 0
    Hi,
    apparently there´s something wrong. As next step please provide the output of the following command:
    gen_inline_reporting_data.plx  

    Thanks,
    Masoumeh
  • 0
    it seems that another instance is already running 


    loginuser@*****:/home/login > gen_inline_reporting_data.plx

    Another instance of this process is already running





    ***:/root # ps -aux | grep data

    postgres  5267  0.0  0.1  80112  2640 ?        S     2011   0:42 /usr/bin/postgres -D /var/storage/pgsql/data

    root      5767  0.0  0.1  29364  2532 ?        S    Jan01   0:01 /usr/local/bin/gen_inline_reporting_data.plx --timeframe yesterday

    root     17204  0.0  0.1  29364  2532 ?        S    Jan01   0:01 /usr/local/bin/gen_inline_reporting_data.plx --timeframe monthly

    root     22929  0.0  0.1  29368  2540 ?        SNs   2011   0:01 /usr/local/bin/gen_inline_reporting_data.plx


    I would expect "gen_inline_reporting_data.plx --timeframe yesterday" to have Jan4 as start date and not Jan01. Killing the relevant tasks and running the command "gen_inline_reporting_data.plx" (output attached) reset the dashboard statistics and the files under "/var/log/reporting/inline/" now aren't older than 30 min... 


    *****:/var/log/reporting/inline # ls -la

    total 240

    drwxr-xr-x 5 root root  4096 2012-01-05 16:18 .

    drwxr-xr-x 9 root root  4096 2012-01-05 16:15 ..

    -rw-r--r-- 1 root root   886 2012-01-05 16:17 application_control.ph

    -rw-r--r-- 1 root root  1250 2012-01-05 16:18 dashboard.ph

    -rw-r--r-- 1 root root 18414 2012-01-05 16:17 email_security.ph

    -rw-r--r-- 1 root root   908 2011-10-01 02:47 imp2p_security.ph

    drwxr-xr-x 2 root root  4096 2012-01-01 04:38 last_30

    drwxr-xr-x 2 root root  4096 2012-01-02 03:39 last_7

    -rw-r--r-- 1 root root   320 2012-01-05 16:18 logging.ph

    -rw-r--r-- 1 root root  6280 2012-01-05 16:17 management.ph

    -rw-r--r-- 1 root root 40823 2012-01-05 16:17 net_security.ph

    -rw-r--r-- 1 root root 75355 2012-01-05 16:17 network.ph

    -rw-r--r-- 1 root root   456 2012-01-05 16:18 voip_security.ph

    -rw-r--r-- 1 root root   775 2012-01-05 16:18 vpn.ph

    -rw-r--r-- 1 root root   941 2012-01-05 16:18 waf.ph

    -rw-r--r-- 1 root root 43309 2012-01-05 16:17 web_security.ph

    drwxr-xr-x 2 root root  4096 2012-01-05 00:21 yesterday


    Let's see if the dashboard stats will get updated shortly...
    Thanks
    output.zip
  • 0
    It seems much better today (pic attached with new stats). However, can you confirm the following? 




    loginuser@****:/home/login >  ls -la /var/log/reporting/inline
    total 240
    drwxr-xr-x 5 root root  4096 2012-01-06 11:17 .
    drwxr-xr-x 9 root root  4096 2012-01-06 11:30 ..
    -rw-r--r-- 1 root root   886 2012-01-06 11:17 application_control.ph
    -rw-r--r-- 1 root root  1254 2012-01-06 11:17 dashboard.ph
    -rw-r--r-- 1 root root 12768 2012-01-06 11:17 email_security.ph
    -rw-r--r-- 1 root root   908 2011-10-01 02:47 imp2p_security.ph
    drwxr-xr-x 2 root root  4096 2012-01-01 04:38 last_30
    drwxr-xr-x 2 root root  4096 2012-01-02 03:39 last_7
    -rw-r--r-- 1 root root   320 2012-01-06 11:17 logging.ph
    -rw-r--r-- 1 root root  6280 2012-01-06 11:17 management.ph
    -rw-r--r-- 1 root root 41035 2012-01-06 11:17 net_security.ph
    -rw-r--r-- 1 root root 75240 2012-01-06 11:17 network.ph
    -rw-r--r-- 1 root root   456 2012-01-06 11:17 voip_security.ph
    -rw-r--r-- 1 root root   775 2012-01-06 11:17 vpn.ph
    -rw-r--r-- 1 root root   941 2012-01-06 11:17 waf.ph
    -rw-r--r-- 1 root root 44411 2012-01-06 11:17 web_security.ph
    drwxr-xr-x 2 root root  4096 2012-01-06 00:20 yesterday


    I've tried to test the "dashboard update stats" by having one of the users downloading eicar file. The file was blocked as expected but it took about 5-6 minutes for the dashboard webadmin entry and the web report to get updated. Shouldn't that be instantaneous? 

    Thanks
  • 0
    Hi,
    dashboard is Inline-Reporting that´s why it takes time to be updated.

    Cheers,
    Masoumeh