Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 5101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to find virus information?

ehofstede
Hi,

In the executive report I just reveived from one UTM I see it had blocked 2240 http/s virusses, which is extreme for this UTM. So I would like to get more information on this, which computer caused this, which websites contain so many virusses etc.

Can somebody tell me how I can find this information?

Thank you!
Regards,
Erwin.


This thread was automatically locked due to age.
  • 0
    Are you comfortable at the command line?

    From today's logs (loginuser is sufficient here)
    $ grep 'name="web request blocked, virus detected"' /var/log/http.log


    Archives require more privileges, this example is for April 26, 2014 http logs.
    # zcat /var/log/http/2014/04/http-2014-04-26.log.gz | grep 'name="web request blocked, virus detected"'
  • 0
    In Webadmin go to Logging & Reporting >> Web Protection. There you should be able to create a custom Web usage report to display the virus info.
  • 0
    Also, you can get WebAdmin to run teched's grep by using the same character string without the 's on the search tab in View Logs.   

    There was a thread sometime in the last year or so that discussed how to configure the report suggested by fils day. 

    Cheers - Bob  

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Logging & Reporting>Web Protection

    My 9.111-7 UTM appears to misbehave when filtering for blocked (+>action>blocked) filtering for nothing. Chrome Version 34.0.1847.131 m on Windows.

    My current 9.201-23 appears to filter.

    Can anyone confirm the 9.111-7 results?
  • 0
    When you choose Info you get a virus dropdown, does that filter the results correctly?
  • 0
    It appears the "Available Reports" selection toggles which filters function.  "Sites" disables the action and info filterattributes.

    (I think I'll stick to the command line.)
  • 0
    Thanks for the replies everybody and sorry for the late response!

    When I create a custom report and I add a filter within that report my UTM always ignores that filter, whatever I choose. It provides a small grey "stop sign" within the filter saying; "This filterattribute has been disabled for the current view". And I really don't understand why it says that...
    I added a screenprint to this message, I think seeing is easier than trying to explain. 
    I get this same behaviour over and over, no matter which filter rules I use.

    For now I went to "logging & reporting" - "View Log Files" - "search log files" and I did a search for "virus" in the last 30 days. That gives me information from the archived log files, without the need to run to the command line. The command line is still a learning process for me... [;)]

    This gave me the information I wanted for now, but I believe that logging and reporting still needs some improvements...

    Any idea what I can do about this "filterattribute has been disabled" nonsense?
    Thanks!
    Erwin.
  • 0
    Have you try to replace SITES by URL in the dropdown menu
  • 0 in reply to brassardv
    Just did brassardv, that gives me the same result as you can see in the attachment... [:(]

    Thanks for your input though!
  • 0
    Sorry my english is not very good.

    Change Availble Reports  to URL
    Then add Filter Infos and choose Virus

    Let's try with a picture :
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?