Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 577 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP proxy traffic not available for syslog output

Jim Tagert
I cannot figure out a way to see the outbound connections via syslog when the HTTP proxy is enabled. I would like to monitor this traffic for two reasons, 1) If someone unknowingly installs malware (i.e. tojan, adware, or virus) I would like to see the outbound traffic, and 2) I like to monitor all outbound traffic. In both cases I want to know from which PC the traffic originated. This is not possible if I cannot see the HTTP proxy traffic.

Other than turning Astaro into a plain NAT router with no HTTP proxy, is there a solution?

Simply put, I want to see the traffic through the HTTP proxy via a syslog output.


This thread was automatically locked due to age.
  • 0
    Content Filter (HTTP) will log everything you want I think. Even if you aren't "using" the content filter, it should be set to Allow all traffic by default, but will still log the "allows" in the log.
  • 0 in reply to addrockk
    Content Filter (HTTP) will log everything you want I think. Even if you aren't "using" the content filter, it should be set to Allow all traffic by default, but will still log the "allows" in the log.


    Thanks for the reply, but your suggestion did not work because the data in the Content Filter (HTTP) only contains the following information:

    2008:03:20-08:02:51 (none) httpproxy[889]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.0.0.0" user="" statuscode="200" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="1049" time="231 ms" request="0xae1110b8" url="www.astaro.org/.../ IT Information"

    As you can see, the "srcip=" is there and a "url=" not a "dstip=" is there, but the other information that would make my desire a reality is not present.

    I would prefer that the packet filter see the proxy traffic but I know of no way to accomplish this.

    08:19:12 Packetfilter rule #23 TCP 10.0.0.0:1934 → 111.11.11.11:443[SYN] len=52 ttl=63 tos=0x00 srcmac=xx:xx:xx:xx:xx:xx dstmac=xx:xx:xx:xx:xx:xx

    I may not have given enough information.

    I am using "WallWatcher" to intercept info sent via syslog. I like to observe traffic in real-time. I also send data to MyNetWatchman and DShield but that data is strictly unsolicited inbound. When the HTTP proxy is on, I do not see the outbound traffic from my network computers. If I turn the HTTP proxy off, I can see the traffic. However, that removes the features that I really like from the ASG and turns the box into a plain NAT router.

    What I want is for the proxy to send, via the syslog, the src ip, dst ip, src port, and dst port of all outbound traffic through the HTTP proxy in the same format as the packet filter.  

    I have yet to find a way to accomplish this.