Web Protection reporting not showing usernames

Hi, Charlie, and welcome to the User BB!

Are the users' names and domains listed correctly in the Web Filtering logs?

Cheers - Bob

Hi Bob, 

The web filtering logs show either:

user=""

or

user="DOMAIN\username"
 
I would guess that it is showing the username only for the users it has listed in the DOMAIN\username format and for all others it shows just user=""

It seems that the problem is that some users are not being identified.  Is Web Filtering in Transparent or Standard mode?  I assume you're using AD-SSO - correct?

Although with a 120 you probably don't have a large number of accounts to manage, you might want to consider #6 in Rulz.

Cheers - Bob

Hi Bob, 

Web filtering is configured in Standard mode. 

Yes, we are using AD-SSO, the UTM is joined to the domain and the connection to Active Directory authenticates and verifies other user credentials no problem. 

'Automatic user creation for facilities' has Client Authentication, Web Filter and End-User Portal selected (thought the end user portal is disabled).

I have stopped the AD sync and then removed the users that were created by the sync leaving just the users marked as autogenerated. 

As I understand it when a user connects to a website with the UTM set in proxy it should automatically add the user to the UTM but when I just tested with a user not currently listed they could browse the Internet no problem but still aren't listed in the Users tab of Users & Groups.

Yes, AD-SSO depends on joining the UTM to the Domain, not on the Authentication Server definition using your AD server.  Authenticating Backend Groups and all uses other than AD-SSO uses the Authentication Server definition using your AD server and functions without joining the UTM to the domain.

Although Configuring HTTP/HTTPS proxy access with AD SSO with a Sophos UTM was written for V8.3, all of the same principles apply, but some settings are located in a different place.

If you reread this thread and #6 in Rulz, I think you will understand the "why" of your last comment.

Cheers - Bob

Hi Bob, 

I have been through the document you linked to and can confirm we have everything setup the way the guide indicates it should be. We have AD-SSO configured and syncing of users from AD is disabled already as suggested by rule 6. 

So, as far as I can see, we are in compliance with the rule and with the guide but users still aren't being created meaning the reporting just doesn't work in any meaningful way.

The attached file 01 shows a Web Protection report with 'Available Reports' set to Users. 02 shows what happens when the Department is set to 'All Users' (nothing appears) and 03 shows that the 'All Users' department does exist and has users (alice.bopf for example) that appear when 'All Departments' is selected but not when 'All Users' is selected. 

The whole thing is baffling me and I'm thinking there might be something simple I am missing but I can't see what it is. 

If you could offer any further assistance I would really appreciate it.

The Departments in Reporting are useless up through V9.2 (I have yet to check with V9.3) as the local Departments objects must contain users that are synced from Active Directory.  As I said in #6 in Rulz, I consider this more of a bug than a feature deficiency.

Nonetheless, you may have a real problem with users not being identified by AD-SSO, or maybe these are just Microsoft updates, etc.   Please show several of the lines from the Web Filtering log file where user="" and one where the user is identified.

Cheers - Bob

Hi Bob, 

Here are a few of the results from the log, user="" first and then entries where user is specified:

2014:12:05-00:01:28 utm110 httpproxy[5218]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.0.0.158" dstip="23.21.150.188" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="6456" request="0xfd86660" url="ans.oobesaas.adobe.com/"

2014:12:05-00:20:51 utm110 httpproxy[5218]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.0.0.150" dstip="216.58.220.128" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="1652" request="0x136fe660" url="clients3.google.com/" exceptions="" error="" authtime="14" dnstime="22163" cattime="65625" avscantime="0" fullreqtime="240413593" device="2" auth="4" category="178" reputation="neutral" categoryname="Internet Services" application="google"

2014:12:05-00:55:37 utm110 httpproxy[5218]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.0.108" dstip="203.134.87.56" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="14" request="0x10f5fba0" url="www.msftncsi.com/.../plain" application="http"

2014:12:05-07:34:37 utm110 httpproxy[5218]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.0.100" dstip="107.23.11.162" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFBlockAction (Default content filter block action)" size="0" request="0x1417dba0" url="p.acxiom-online.com/.../pel



2014:12:05-00:01:45 utm110 httpproxy[5218]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.0.155" dstip="119.15.70.147" user="TMPC\kylie.triggell" statuscode="304" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x12465100" url="feeds.smh.com.au/.../top.xml" exceptions="" error="" authtime="14" dnstime="198485" cattime="71357" avscantime="0" fullreqtime="348531" device="2" auth="4" category="134" reputation="neutral" categoryname="General News" application="http" 

2014:12:05-05:52:49 utm110 httpproxy[5218]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.0.0.158" dstip="216.58.220.128" user="TMPC\kacie.mcauliffe" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="5111" request="0x10f5fba0" url="safebrowsing-cache.google.com/" exceptions="" error="" authtime="16" dnstime="24" cattime="72846" avscantime="0" fullreqtime="240406129" device="2" auth="4" category="178" reputation="neutral" categoryname="Internet Services" application="googsafe"

2014:12:05-05:52:52 utm110 httpproxy[5218]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.0.151" dstip="108.160.167.179" user="TMPC\murray.reed" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="15" request="0x10f5e660" url="notify6.dropbox.com:80/subscribe

Check the configurations on the devices at 151, 155 and 158 as I think they are correctly configured.  Now check to see what 100 and 108 are missing.  I can't tell if the unit at 150 is working correctly.

Cheers - Bob

Hi Bob, 

Thanks for all your help, I think I have figured out what was happening. It seems like the issue was being caused by an incorrect system clock on the physical server that the DC VM was running on, once this was fixed things started to work correctly!

I'm still a bit confused by why some users show up as DOMAIN\username and some show up as username.domain.local, could it have something to do with how they authenticate as we have some people on Windows PCs joined to the domain and some on Macs which aren't on the domain and authenticate through the proxy settings?