Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 13346 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Logging HTTPS traffic

isaif
Hello,

I have a specific scenario in which I am trying to find out of a particular user visited a particular secure website on a particular day. 
Is there a way to log HTTPS traffic via the firewalls built in monitoring? As far as I can see there is an HTTPS CA but no HTTPS traffic is showing up under Logging & Reporting > Web Security.

ASG V8 on 8.303

(I'm very new to this system)

Thanks


This thread was automatically locked due to age.
  • 0
    Is https scanning enabled at Web Security>>Web Filtering>>Global Tab?
  • 0 in reply to Scott_Klassen
    Is https scanning enabled at Web Security>>Web Filtering>>Global Tab?


    That seems to have done it, thanks.

    Once I enabled that, users weren't able to log into into windows Live messenger as Transparent mode was set. (edit: Fixed this by setting Standard Transport mode)
  • 0 in reply to isaif
    Having another issue, while it does work when HTTP scanning enabled, I have to use Transparent mode for https url's to show up in the logs.

    When Transport mode is enabled and when a user attempts to access a secure site, the browser will notify users something to the effect of "There is a problem with this website's security certificate".

    I'm guessing this is because we use a Network proxy signing CA.

    What would be the best method to employ in order to have users retain their normal browsing?
  • 0
    Proxy should log visited https sites as they are ?

    When I look at logs i can see that all accessed https sites are loged as url="http.00.s.sophosxl.net" or similiar

    I have https scanning enabled at Web Security>>Web Filtering>>Global Tab
    Scanning is set to Transparent mode
    Imported CA through GP - https sites can be accessed.
  • 0
    When I look at logs i can see that all accessed https sites are loged as url="http.00.s.sophosxl.net" or similiar

    Please show the complete log line from the file.  The only places I have HTTPS scanning enabled are locations doing AD-SSO in Standard mode, and the logs show "sophosxl.net" if I'm interpreting your example correctly.

    Cheers - Bob
  • 0 in reply to BAlfson
    Please show the complete log line from the file.  The only places I have HTTPS scanning enabled are locations doing AD-SSO in Standard mode, and the logs show "https://sophosxl.net" if I'm interpreting your example correctly.

    Cheers - Bob


    Please see some line from log file. 

    2013:03:18-16:01:50 mail httpproxy[29479]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.11.144.110" dstip="54.247.116.110" user="" statuscode="200" cached="0" profile="REF_HttProItGroupProxy (Internal)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x9b7d928" url="http://http.00.s.sophosxl.net/V3/01/229.178.178.193.ip/" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" application="http"

    2013:03:18-16:01:52 mail httpproxy[29479]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.11.144.110" dstip="54.247.116.110" user="" statuscode="200" cached="0" profile="REF_HttProItGroupProxy (Internal)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="12" request="0x9b7d928" url="http://http.00.s.sophosxl.net/V3/01/bayvar.pvgnqryr.yi.w/" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" application="http"


    Today https sites are not logged in log file at all - I haven't changed any configuration. Restarted proxy, disabled/enabled proxy. But cannot get to log https sites with configuration that logged them yesterday...
  • 0
    I checked public DNS: 

    http.00.s.sophosxl.net IN CNAME sxld.gdns.sophosxl.net


    Cheers - Bob
  • 0 in reply to BAlfson
    I checked public DNS: 

    http.00.s.sophosxl.net IN CNAME sxld.gdns.sophosxl.net


    Cheers - Bob


    So it means that logs shows when proxy CA was checked?
    So no traffic is logged in http proxy log file - any ideas ?
  • 0
    It appears that the HTTPS traffic is passing via a firewall rule.  The log lines you showed appear to be done in transparent mode.  Search on the KnowledgeBase for proxy AD-SSO

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    It appears that the HTTPS traffic is passing via a firewall rule.  The log lines you showed appear to be done in transparent mode.  Search on the KnowledgeBase for proxy AD–SSO

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.


    Disabled FW rule:
    LAN --websurfing --Any
    Still able to access internet and no logging of https [:)]