Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3215 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Search Engine Report

grims68
Hi,

Sorry if this has been mentioned and solved elsewhere. I've looked through search results on this forum and elsewhere but haven't had any luck.

I've been evaluating UTM 9 off and on in VMs for a couple of weeks now with a view to using at home. One of the key things for my purposes is the web usage reporting.

I'm *almost* happy - actually, I'm almost very pleased indeed! - but one thing is proving to be a stumbling block ... I get content in the "Web Usage Report" just fine, but I never, ever (regardless of the site I use) get anything in the "Search Engine Report". This is even though the categories report shows "Search Engines" and "Visual Search Engine" categories with urls present.

I've tried simply waiting a day or two to see if it was a time-delay thing, but no luck. I get the feeling that no-one else is experiencing this as I can't find any other questions on it.

For the record, this is the 4th install of Sophos UTM that I've done, and all have shown this problem - from the original install from the ISO to the most recent applied update (9.003-16 which it reports as up-to-date at the time of writing).

Am I missing something obvious?

Thanks in advance,
Chris


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Ol Deda
    how do you use the "web protection"? have you any exception or "Skip transparent mode source hosts/nets"
    "Application Control" is turned on ?


    Thanks for responding oldeda. In answer your questions ...

    The aim for Web protection is to put a simple baseline filter on the whole internal network (e.g. guaranteed non-kid-friendly material) and then to build much more restrictive filters for specific network devices (e.g. non-PC devices that feel the need to provide a web browser feature for some reason, such as games consoles). Other than that, I want to use it for reporting to keep track of what is passed/blocked so that I can refine the rules should I feel the need.

    I have two destinations set for "Skip transparent mode" ... the internal VM network sitting behind the UTM (192.168.2.*) - not sure if this is required though - and the wider internal network behind the router (192.168.0.*) - to allow to other hosts in the physical network during evaluation. This all works as expected/hoped.

    I've removed all the out-of-the-box example exceptions except for the Windows Update exception.

    Network visibility is enabled, but I have no Application Control rules defined (if I'm honest, I've not really looked into App Control yet).

    The filtering seems to work nicely. My confusion is when I have URLs for search engines (e.g. google and bing) in the web usage report but nothing in the "Search Engine" report.

    What I expected to find here (maybe in ignorance, I accept), based on the description in the manual (17.5.2) is for all search queries to be reported, but nothing is being reported. Is this correct?

    (Please assume that all report filters are set to "all" or equivalent)

    I'll try to do some more digging today but any pointers would be much appreciated!

    Thanks,
    Chris
  • 0 in reply to grims68

    Network visibility is enabled, but I have no Application Control rules defined (if I'm honest, I've not really looked into App Control yet).


    ok put a filter there to allow google,bing,yahoo .etc
    this will work i think
  • 0 in reply to Ol Deda
    ok put a filter there to allow google,bing,yahoo .etc
    this will work i think


    Thanks oldeda, I gave that a go but I didn't see any change in behaviour [:(]

    btw ... I have spotted one (just one, sadly) entry on the search engine report from 19th October (the last time I had the VM running). I have no idea what the circumstances were at that time, except that the log reports that the request was blocked - as part of a device-specific test - and that the application is recorded as "googsafe" (currently it is reporting "google" in today's tests).

    As I mentioned, this is a VM for evaluation, so there's been some messing about with it. I think I'll go back to a fresh install and start from there without messing with the settings at all and then revisit the application control filter you mention.

    I'll come back when I have more info.

    Thanks for your time,
    Chris