Which log to check to find bittorrent client

Hi,

If the traffic was not blocked, then it would not have been logged, unless you had made a log rule manually (in which case the Firewall Log is the one to look at).

However, the Accounting system should be of use; take a look at it and see if you can find reports for that date.
You may want to disable NTP and change the time/date back to the end of same month, and configure it to run the Monthly Executive reports.


BTW, if you're in the US, you can probably ignore the letter; it's unlikely you will be taken to court. If it does go to court, if you run an shared network or an open WiFi AP, that may be good enough.
IANAL.

Barry

Thanks Barry, 

I could succesfully generate reports after setting time to 4:37am and 1st of the next month. The crontab entry for generating a monthly report is:

38 04 1 * *     root    /usr/local/bin/report_render.plx --pdf --archive --type monthly --sendmail

The image shows top-10 services for the month and I wonder if I can draw the conclusion from it that bittorrent traffic likely took place (Top-10 services account with 63GB of 91.8GB total traffic is shown). The lines at position 4 and 7-10 look suspicious to me. I've also looked at top-250 services in the bandwidth usage (network usage) reports and there are dozens of tcp and udp entries with a high service port number. Strange is that whatever log I look at (top-10 or top-250 clients/servers/services) the total in/outgoing traffic adds up to about 68GB whereas total traffic is shown as 91.8GB. Is there no way to visualize the remaining traffic, even if this means producing a top-50000 ?

I noticed in top 10 (local) clients the hostname does not appear, although they show up in the dhcp logs. Can this be configured for the accounting reports?

At this stage I am 95% sure there was bittorrent traffic, but I would like to be more certain about it. And btw, should it not be a standard feature or setting P2P traffic like bittorrent is logged?

Cheers
JockyW

Hi, you can see more than the top-10 in the Reporting section of webadmin. I don't know if it goes beyond the top 250 though.

Hostnames would probably appear if you had DNS entries for your internal hosts, but that requires using static IP addresses or DHCP reservations.

Too much logging is not always a good thing.
You might want to look at the Application Control settings though, I think it can do logging, as well as blocking.

The SOCKS traffic is high; do you have authentication (SOCKS5) configured, and/or do you know what was using SOCKS?

Barry

Hi, you can see more than the top-10 in the Reporting section of webadmin. I don't know if it goes beyond the top 250 though.

top-250 is the max, maybe it can be hacked in the reporting code

Hostnames would probably appear if you had DNS entries for your internal hosts, but that requires using static IP addresses or DHCP reservations.

I did a search-replace using the dhcpd logs and MAC vendordatabase lookup

Too much logging is not always a good thing.
You might want to look at the Application Control settings though, I think it can do logging, as well as blocking.

Yes, added various application control rules, but I am wondering how the detection works and how accurate it is. I don't know if it is technically possible at all to generate an accurate log for torrents, but if it can be done it should be integrated !

The SOCKS traffic is high; do you have authentication (SOCKS5) configured, and/or do you know what was using SOCKS?

Yes good catch. I don't know what application is using it, perhaps MSN Messenger (now obsolete) used it. Anyway, it was my own laptop generating SOCKS traffic and I'm sure I did not share those torrents