Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2248 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reporting - Need some clarification

silvesj
See attached screenshot.... and sorry for the lengthy read. 

So our widget has been showing a TON of time spent @ Facebook. So I decided to drill down, ran a report, resolved IPs, management was curious so I turned the report over. 

I've tried to get clarification but no one seems to be on the same page. Looking at columns... bare with me.

User - IP, obvious.
Traffic - I assume thats in MB or KB or something?
- Not really sure what the first one is? Overall for the month?
Duration - Time spent at Facebook
Page Views - I would assume times visiting that page. But then the second IP has only 2 Page Views. And I know she's been to Facebook more than twice.
Requests - I've been told this is items (java, html,etc) requested from the page.
% - This second one idk, % usage for only this search?


So if someone could clarify Page Views vs Requests that would be great!



2nd Question  For obious reasons a few people are saying no no no I never visit Facebook or for that long......

1. I asked a Sophos engineer he said Duration will continue to run up as long as the tab is open. So if somone leaves a Facebook tab open for a day it will show  a day of usage. However; testing in our office one gentleman had Facebook open for 2 hours (uses messenger to communicate with stay @ home wife) but said actual usage was about 5-10min. Sophos said he had 00:07:25 leading me to believe it's only active time + maybe some time before time out?


2. If someone is on CNN , and CNN has a facebook widget on the side, will that count towards the time? or a google search for photos but never visiting the site only look at Google photos, but the Photo may be pulled from Facebook?


3. A few people say I've never been to Facebook nor have a Facebook. 


Thanks a ton in advance!


This thread was automatically locked due to age.
  • 0
    % always is related to the column to it left compared to the total for the same time period.  I'm a bit confused by the % after the Requests column though.

    You might consider doing this with Application Control.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    1)  More information on these is available in the built-in help.  Did you look there?

    #: Position with regard to traffic caused.

    Traffic: Size of traffic caused.

    %: Percentage on overall traffic.

    Duration: Users report type: time spent by user(s). Sites report type: total time (sum over all users) spent on the website(s).

    Pages: Number of pages (that is, all requests answered with code 200 and content-type text/html) requested.

    Requests: Number of web requests for a category, site, domain, or URL.

    User: Name of the user who bypassed blocking. If anonymization is enabled, user_# is displayed.

    Site: Site for which blocking was bypassed.



    2nd Question

    1)  
    I asked a Sophos engineer he said Duration will continue to run up as long as the tab is open
    Wrong.  This is the time it take between request and response, after which the session will be closed (unless there is script on the page to keep it open).  Many pages, like facebook, also have script to check for new content every so often, which will be a new request/response.

    2)  Yes it will.  that widget on CNN is making a request to Facebook to be displayed.  If Content is requested, the domain it is requested from and the response received from is what it will count as.

    3)  I have no response for this, as I don't do much with facebook either.  I see it as a place for the youth of today, potential future leaders, to annihilate future prospects for jobs and relationships by posting things that have no business in the public domain.  ;P
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    In UTM 9.3, Sophos added Referrer URL in the Web Filtering log. You can 'generally' use that field to find the URL someone was actually on when the Facebook like/share widget was requested. 

    From what we've seen facebook uses the following URLs for all their 'widgety' stuff:

    api.facebook.com/method
    graph.facebook.com
    s-static.ak.facebook.com/connect
    static.ak.facebook.com/connect
    www.facebook.com/connect
    www.facebook.com/fr
    www.facebook.com/plugins
    www.facebook.com/tr
    www.facebook.com/v1.0/plugins
    www.facebook.com/v2.0/plugins

    If you can exclude those from your log analysis or reporting then you'll be in a better shape to determine 'actual' facebook hits.

    Keep in mind you'll probably need https inspection to log the full URLs above, otherwise just 'www.facebook.com' will make it into the log.

    Also be aware that when you browse facebook.com, most of the content is retrieved from the following domains:

    fbstatic-a.akamaihd.net
    *.fbcdn.net
    fbcdn*.akamaihd.net
    fbexternal*.akamaihd.net
    fbstatic*.akamaihd.net

    So keep that in mind when running you reports.

    Of course, other sites can also embed images etc that are hosted on these CDNs, which is where the Referrer URL comes in handy.

    Hope this helps!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?