Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1403 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Figuring Out a Client'sOutbound HTTP Traffic

SouperGrover
Hi All,

Yesterday, I had a client whose outbound HTTP traffic was over 300MB according to the Top Services By Client report. When I look at Top Applications by Client is shows that 250MB of outbound traffic were to Rapleaf. After researching, it seems they are a major player in the web user tracking and selling info game. I have isolated the time window based on a few other reports. Also, we screen capture all of our clients, so I was able to go back and replay her desktop session during this time, and the only thing of note she had open was a page from 123greetings.com. As expected, during this window there was lots of download traffic for all of the embedded video ads and content. But how do I track where the HTTP outbound traffic was going? My gut tells me that the Radleaf classification is not correct. When I look at the server oriented reports, they all show total bandwidth and don't break it down by in and out. Any ideas?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    This post has some other psql commands for pulling data from the reporting database:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/34479

    This is a slightly modified query from the above posting that may help.  Change date and srcip values as needed.

    psql reporting -U reporting -c "SELECT srcip, dstip, l4_dport, cast(SUM(raw_in_pktlen) AS bigint) AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) AS combined_total_pktlen FROM accounting WHERE logday:[:D]ate = '2014-09-16' AND srcip = '192.0.2.2' GROUP BY srcip, dstip, l4_dport ORDER BY combined_total_pktlen "
Reply
  • 0
    This post has some other psql commands for pulling data from the reporting database:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/34479

    This is a slightly modified query from the above posting that may help.  Change date and srcip values as needed.

    psql reporting -U reporting -c "SELECT srcip, dstip, l4_dport, cast(SUM(raw_in_pktlen) AS bigint) AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) AS combined_total_pktlen FROM accounting WHERE logday:[:D]ate = '2014-09-16' AND srcip = '192.0.2.2' GROUP BY srcip, dstip, l4_dport ORDER BY combined_total_pktlen "
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?