Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3767 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Which log to check to find bittorrent client

jockyw2001
An infamous lawyer firm accused me of sharing copyrighted TV series via bittorrent from my LAN [:(]

At that time I was running ASG Release 8.309 and I just brought it back up to inspect the log files in order to find the culprit client IP/device. Unfortunately no firewallrules were set to block bittorrent applications.

Can anyone give some advise what logs I should check and what to look for to find out the IP of the bittorrent client? 

Thanks a lot,
JockyW


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    If the traffic was not blocked, then it would not have been logged, unless you had made a log rule manually (in which case the Firewall Log is the one to look at).

    However, the Accounting system should be of use; take a look at it and see if you can find reports for that date.
    You may want to disable NTP and change the time/date back to the end of same month, and configure it to run the Monthly Executive reports.


    BTW, if you're in the US, you can probably ignore the letter; it's unlikely you will be taken to court. If it does go to court, if you run an shared network or an open WiFi AP, that may be good enough.
    IANAL.

    Barry
Reply
  • 0
    Hi,

    If the traffic was not blocked, then it would not have been logged, unless you had made a log rule manually (in which case the Firewall Log is the one to look at).

    However, the Accounting system should be of use; take a look at it and see if you can find reports for that date.
    You may want to disable NTP and change the time/date back to the end of same month, and configure it to run the Monthly Executive reports.


    BTW, if you're in the US, you can probably ignore the letter; it's unlikely you will be taken to court. If it does go to court, if you run an shared network or an open WiFi AP, that may be good enough.
    IANAL.

    Barry
Children
  • 0 in reply to BarryG
    Thanks Barry, 

    I could succesfully generate reports after setting time to 4:37am and 1st of the next month. The crontab entry for generating a monthly report is:

    38 04 1 * *     root    /usr/local/bin/report_render.plx --pdf --archive --type monthly --sendmail


    The image shows top-10 services for the month and I wonder if I can draw the conclusion from it that bittorrent traffic likely took place (Top-10 services account with 63GB of 91.8GB total traffic is shown). The lines at position 4 and 7-10 look suspicious to me. I've also looked at top-250 services in the bandwidth usage (network usage) reports and there are dozens of tcp and udp entries with a high service port number. Strange is that whatever log I look at (top-10 or top-250 clients/servers/services) the total in/outgoing traffic adds up to about 68GB whereas total traffic is shown as 91.8GB. Is there no way to visualize the remaining traffic, even if this means producing a top-50000 ?

    I noticed in top 10 (local) clients the hostname does not appear, although they show up in the dhcp logs. Can this be configured for the accounting reports?

    At this stage I am 95% sure there was bittorrent traffic, but I would like to be more certain about it. And btw, should it not be a standard feature or setting P2P traffic like bittorrent is logged?

    Cheers
    JockyW