Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 7844 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Log file for Failed Authentication Attempts?

jdobiash
I'm transitioning over from Microsoft TMG and one thing I can do in the TMG is look at any and all traffic coming from a host and see if it's authenticated or not.  It looks like the UTM only logs traffic after it's been authenticated (if it's required).  Is there anyway to have it log traffic when the authentication fails?  The "User Authentication Daemon" only shows authentication of the UTM WebAdmin or Portal itself, not against web filtering requests.  Is there another log I'm missing?  Thx!


This thread was automatically locked due to age.
Parents
  • 0
    Hey Bob, ok, here is the situation:

    We're transitioning over to the UTM from TMG and because we no longer have the TMG Firewall Client providing automatic authentication of any non-proxied applications, we're having to punch holes in the UTM to allow out certain applications that don't know how to authenticate on their own.   Yes, we could use the SAA but it's not automatic and also doesn't log the data quite the same way (shows different username than AD SSO so the data isn't correlated). 

    SO, I have a user which has an application which was trying to download files from the internet.  When we tried to use it, it would say "(407) Proxy Authentication Required".  The problem is that I had no idea what URL/IP address it was trying to go to, because the Web Fitlering logs don't show anything when it's just a failed authentication attempt.   It only shows something when the authentication succeeds or if those particular destination URLs (or Source IPs) are exempt from Authentication (which is what i'm trying to add them to). 

    I've kinda figured out a workaround now, in that I just punch a hole for the entire IP address of the workstation, let the application get onto the internet and then examine the logs to see where it went.  I was just hoping maybe there was something being logged when a user fails to authenticate to the proxy via the Web Filter module.
Reply
  • 0
    Hey Bob, ok, here is the situation:

    We're transitioning over to the UTM from TMG and because we no longer have the TMG Firewall Client providing automatic authentication of any non-proxied applications, we're having to punch holes in the UTM to allow out certain applications that don't know how to authenticate on their own.   Yes, we could use the SAA but it's not automatic and also doesn't log the data quite the same way (shows different username than AD SSO so the data isn't correlated). 

    SO, I have a user which has an application which was trying to download files from the internet.  When we tried to use it, it would say "(407) Proxy Authentication Required".  The problem is that I had no idea what URL/IP address it was trying to go to, because the Web Fitlering logs don't show anything when it's just a failed authentication attempt.   It only shows something when the authentication succeeds or if those particular destination URLs (or Source IPs) are exempt from Authentication (which is what i'm trying to add them to). 

    I've kinda figured out a workaround now, in that I just punch a hole for the entire IP address of the workstation, let the application get onto the internet and then examine the logs to see where it went.  I was just hoping maybe there was something being logged when a user fails to authenticate to the proxy via the Web Filter module.
Children
No Data