Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 12303 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Application Control Logging Question

scottj_01
All-

I am using UTM 9.109-1 running on a core 2 duo PC with 8gb of ram. Recently I noticed logging (see enclosed) when my wife uses QVC. Prior to Satuday I was using the local database and switched to End Point Protection Web Control. Web protection/application control is also being used. I am asking for some guidence in correcting the noted logging error. When using the local database errors of this nature were not encountered. Is it likely I have blocked an element QVC need to correctly function?

Thanks,
Jim






2014:02:25-17:06:57 Oasis httpproxy[5209]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xce96828" function="match_exception_domainlist" file="profile.c" line="599" message="exception AstaroUp2date exceeded pcre limit on www.qvc.com/dynaTraceMonitor


This thread was automatically locked due to age.
Parents
  • 0
    Gents and Ladies,

    It turns out that any exception with a "*" in it was generating a PCRE log entry when a long URL was processed.  These long URLs are typically web ads - that seem to specialise in long URLs.  And also the exceptions were not being matched, they were just *all* being processes with complaint for each REGEX with a * in it for each long URL.   So four lines in an exception with * generate four 1-2000 byte log lines.  That multiplication will fill a log system double quick.  

    So had to simplify all the exceptions to something in this format: astaro\.de/

    So my Hotmail REGEXes go from being 

    ^https?://.*hotmail\.com/
    ^https?://.*hotmail\.co\.uk/
    ^https?://.*live\.com/
    ^https?://.*live\.co\.uk/

    to

    hotmail\.com/
    hotmail\.co\.uk/
    live\.com/
    live\.co\.uk/

    Which is not bad for matching but not perfect by a long shot.   Still now we have a sane logging system even if we cannot use Regex fully in exceptions.  

    Thanks for your comments,

    Adrien.
Reply
  • 0
    Gents and Ladies,

    It turns out that any exception with a "*" in it was generating a PCRE log entry when a long URL was processed.  These long URLs are typically web ads - that seem to specialise in long URLs.  And also the exceptions were not being matched, they were just *all* being processes with complaint for each REGEX with a * in it for each long URL.   So four lines in an exception with * generate four 1-2000 byte log lines.  That multiplication will fill a log system double quick.  

    So had to simplify all the exceptions to something in this format: astaro\.de/

    So my Hotmail REGEXes go from being 

    ^https?://.*hotmail\.com/
    ^https?://.*hotmail\.co\.uk/
    ^https?://.*live\.com/
    ^https?://.*live\.co\.uk/

    to

    hotmail\.com/
    hotmail\.co\.uk/
    live\.com/
    live\.co\.uk/

    Which is not bad for matching but not perfect by a long shot.   Still now we have a sane logging system even if we cannot use Regex fully in exceptions.  

    Thanks for your comments,

    Adrien.
Children
No Data