IP address's not in logs but shows as active

Rather than look in the logs, check 'Network Usage' on the 'Bandwidth Usage' tab.  You can look at specific IPs as Client or Server to see what Apllications or Services each used.

Maybe that will help you decide which log to search in in which time frame.

Cheers - Bob

Thanks - the last logged communication to a specific ip address I have been tracking was 5/1/2013. It is still showing as an active ip address in the management console. I thought that after 7 days of no activity an ip address was removed from the database?

In general, logging and reporting just cover Layer 3 traffic.  The one place you might look is in the DHCP lease table or search the DHCP log file.

Cheers - Bob

Not using dhcp on the unit. I did find that I had accessed the ip address in question (seh print server) thru a vpn connecion. Would that cause it to be counted as an active ip?

Yes. That IP must have responded to a request from your client. In 'Reporting >> Network Usage', on the 'Bandwidth Usage' tab, get a report for the IP for 'Top Services by Client' and '... by Server'. 

Cheers - Bob

What I have found...

Version 8.306 and 9.1
Web Filtering in Standard Mode
Proxy specified in Internet Explorer
User does not belong to a group that is allowed internet access

Above user attempts to go to Google and is denied, which is correct. Even though they are blocked their ip address is added to the list of address's that are consuming licenses. This had a huge impact in my environment whenever I released wsus updates. Any windows 7 computer upon reboot will attempt to connect to the internet because of Network Location Awareness which will use the proxy defined in internet explorer. So basically I have about 75 kiosk computers that would all of a sudden be consuming ip address's once a month whenever wsus updates were released. I was told by the reseller that licenses were only consumed when access is not blocked.

First, I'm not a WSUS guru, but it seems like Win7 could be set via GPO to go directly to your WSUS server.

An IP is counted anytime it's "visible" to an interface that doesn't have a default gateway.  There are some workarounds, but one would need a lot more knowledge of your infrastructure.  If your reseller is skilled with ASG/UTM, you might consider hiring them to help with this.

Cheers - Bob

The wsus server is internal and is not the issue. The issue is that the firewall is counting any web proxy access as a used license even when the access is bloacked. Wsus comes into play only because updates always require a reboot. When the reboot occurs the "Nework Location Awareness" service is invoked which always uses the Web Proxy. All of the "Nework Location Awareness" calls are blocked but this occurs for every Windows 7 computer when it is rebooted. All computers have a default gateway that routes eventually to the firewall. I can disable "Nework Location Awareness" through a GPO which I did yesterday.

Hi ,

I hope I understood good but correct me if I am wrong .
You major issue is that all those computer are counted in the connected ip addresses in the ASG/UTM and then you have a licensing issue because you have more computers then Licenses ?
Basically all devices that has the UTM as default gateway  will be count , does not mother if they are surfing or not.
If this is the case so any of your devices will be listed in the ip counter.
If its not the case and I go you wrong , please correct me do I can understand more and try to help you.

All my best

About WSUS Bob is definitely right .  

In the GPO you can easily configure that clients will update directly from the WSUS and not from the Internet , that's all the idea of WSUS..
It's really few easy steps to configure in the GPO.

All my best