Filtering dropped packages

tcpdump -n -e -ttt -i pflog0 host a.b.c.d

BSD sets up a virtual interface for it's packetfilter logging, which UTM doesn't do.

What would be the smartest approach on Sophos UTM 9 to find which ports are being blocked from or to a given host? I have tried the livelog on the web interface, and honestly I find it to be very complicated to work with.

Three possibilities.  1)  Use the live log, at the top under the address bar there is a filter box, add in the IP you are filtering for here.  2)  Tail and grep the log from the shell (see http://stackoverflow.com/questions/7161821/how-to-grep-a-continuous-stream for some tips).  Logs are in /var/log/.  3)  You can send data via Syslog (Logging & Reporting > Log Settings > Remote Syslog Server) to a database server (Splunk works nice), then you can filter to your hearts content.  Slight delay from real-time, but very flexible in useability.

tcpdump -n -e -ttt -i pflog0 host a.b.c.d

BSD sets up a virtual interface for it's packetfilter logging, which UTM doesn't do.

What would be the smartest approach on Sophos UTM 9 to find which ports are being blocked from or to a given host? I have tried the livelog on the web interface, and honestly I find it to be very complicated to work with.

Three possibilities.  1)  Use the live log, at the top under the address bar there is a filter box, add in the IP you are filtering for here.  2)  Tail and grep the log from the shell (see http://stackoverflow.com/questions/7161821/how-to-grep-a-continuous-stream for some tips).  Logs are in /var/log/.  3)  You can send data via Syslog (Logging & Reporting > Log Settings > Remote Syslog Server) to a database server (Splunk works nice), then you can filter to your hearts content.  Slight delay from real-time, but very flexible in useability.