Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3767 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Which log to check to find bittorrent client

jockyw2001
An infamous lawyer firm accused me of sharing copyrighted TV series via bittorrent from my LAN [:(]

At that time I was running ASG Release 8.309 and I just brought it back up to inspect the log files in order to find the culprit client IP/device. Unfortunately no firewallrules were set to block bittorrent applications.

Can anyone give some advise what logs I should check and what to look for to find out the IP of the bittorrent client? 

Thanks a lot,
JockyW


This thread was automatically locked due to age.
Parents
  • 0
    Hi, you can see more than the top-10 in the Reporting section of webadmin. I don't know if it goes beyond the top 250 though.

    Hostnames would probably appear if you had DNS entries for your internal hosts, but that requires using static IP addresses or DHCP reservations.

    Too much logging is not always a good thing.
    You might want to look at the Application Control settings though, I think it can do logging, as well as blocking.

    The SOCKS traffic is high; do you have authentication (SOCKS5) configured, and/or do you know what was using SOCKS?

    Barry
Reply
  • 0
    Hi, you can see more than the top-10 in the Reporting section of webadmin. I don't know if it goes beyond the top 250 though.

    Hostnames would probably appear if you had DNS entries for your internal hosts, but that requires using static IP addresses or DHCP reservations.

    Too much logging is not always a good thing.
    You might want to look at the Application Control settings though, I think it can do logging, as well as blocking.

    The SOCKS traffic is high; do you have authentication (SOCKS5) configured, and/or do you know what was using SOCKS?

    Barry
Children
  • 0 in reply to BarryG
    Hi, you can see more than the top-10 in the Reporting section of webadmin. I don't know if it goes beyond the top 250 though.

    top-250 is the max, maybe it can be hacked in the reporting code


    Hostnames would probably appear if you had DNS entries for your internal hosts, but that requires using static IP addresses or DHCP reservations.

    I did a search-replace using the dhcpd logs and MAC vendordatabase lookup


    Too much logging is not always a good thing.
    You might want to look at the Application Control settings though, I think it can do logging, as well as blocking.

    Yes, added various application control rules, but I am wondering how the detection works and how accurate it is. I don't know if it is technically possible at all to generate an accurate log for torrents, but if it can be done it should be integrated !


    The SOCKS traffic is high; do you have authentication (SOCKS5) configured, and/or do you know what was using SOCKS?

    Yes good catch. I don't know what application is using it, perhaps MSN Messenger (now obsolete) used it. Anyway, it was my own laptop generating SOCKS traffic and I'm sure I did not share those torrents