Flow monitor not showing Outward bandwidth usage

Use the 'Bandwidth Usage' tab of 'Logging & Reporting >> Network Usage' to identify the source.  About four years ago, BrucekConvergent identified a problem with Yahoo because it won't accept an email larger than 10MB, but doesn't reject the email - it just lets the sending server try over and over again.

Cheers - Bob

Use the 'Bandwidth Usage' tab of 'Logging & Reporting >> Network Usage' to identify the source.  About four years ago, BrucekConvergent identified a problem with Yahoo because it won't accept an email larger than 10MB, but doesn't reject the email - it just lets the sending server try over and over again.  Cheers - Bob

  

Hi Bob, that log doesn't separate outbound and inbound traffic, which is what I need to figure out what is saturating my ADSL upload. Any other suggestions?

Thanks, James.

James, not the logfile, the 'Bandwidth Usage' tab in 'Logging & Reporting >> Network Usage'.

Cheers - Bob

I'm also trying to find out what is saturating my outbound connection and, like James, noticed that Sophos UTM no longer appears to show outbound traffic in the flow monitor (I'm pretty sure that pre-9.2 it used to as I'm positive I used it in the past to accomplish what I needed). In looking at the bandwidth usage tab, I'm struggling to separate the inbound from the outbound, as it would seem James is as well. Any hints, Bob, you can give James and myself to get what we need?

Realtime?  Command line:  iftop

Some information may be available in the reporting database (it may be broken too).

Non-realtime? tcpdump capture transfered off UTM for processing with wireshark or reporting database.

tcpdump for wireshark:D.3.*tcpdump: Capturing with tcpdump for viewing with Wireshark

Reporting database: Gather the reporting data, below, and compare the deltas.

Accumulated in/out/total transfers by AFC protocol for the day :

psql reporting -U reporting -c "SELECT afc_proto, cast(SUM(raw_in_pktlen) AS bigint) AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) AS combined_total_pktlen FROM accounting WHERE logday:[:D]ate = '2014-07-31' GROUP BY afc_proto ORDER BY afc_proto;"

"Fully accumulated" source/destination byte and connection count for the day:

psql reporting -U reporting -c "SELECT * FROM accounting WHERE logday:[:D]ate = '2014-07-31';"

AFC numbers are listed in /etc/afc/applications

Original posts with the commands above (review for warnings, more info):
AFC counts list: https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/34479

Connection count:  https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/34404

I'll add my voice to the call to make the GUI display both inbound and outbound traffic correctly.  But in the meantime, iftop will do nicely - thanks for the tip.

As an extra tip, I suggest monitoring your LAN interface instead of your WAN, because at that point the the source and destination addresses have not been NATted, allowing you to identify the actual culprit on your LAN.

tMorrill: so this used to show outgoing in past versions?

Anyone at Sophos agree that it is a bug that needs fixing?

James.

Well, I've added this as a feature request at:

Flow Monitor: Ability to show outbound traffic only

Please give it some votes!

Thanks,

James.