Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3171 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Global Monitor??

sargehendricks
Is there a super-secret feature where I can see all traffic to/from a host in real-time along with the policy that may be impacting it?  There have been multiple times where I have needed to figure out why traffic is being blocked, and there is nothing in the rules of the various policies to be the obvious culprit.  I then have to try to go through each feature/application and watch the real-time log as the traffic is attempted.  When I don't see the problem, go to the next feature/application and monitor that.

I'm just curious if there is a single place (I don't care if it's command-line) where I can put in an IP address and see what is dropping/rejecting it's traffic... whether firewall, advance threat protection, IPS, web filtering, application control, etc.  It would make troubleshooting SOOO much faster.

Thank you.


This thread was automatically locked due to age.
  • 0
    It's not real-time, but you can do something like:

    grep '66\.77\.88\.99' /var/log/*.log |more


    Before I did that, I would try #1 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    BAlfson,

    Thank you for the reply.  Sorry it has take me so long to get back to you, but I have run into another issue where the "Global Monitor" would be very handy.  

    I have been using the live log in the firewall to verify that traffic I am expecting is getting NATed properly and allowed to it's intended destination.  Wireshark traces on the destination device, however, show that the traffic is not getting there.  Since there are only "dumb switches" (no layer 3 switches) between the UTM and the device, I have a feeling that some other component of UTM is denying the traffic.

    I am trying your grep suggestion, because trying to find this needle via all of the individual logs is taking forever.  I'll run the command and let it go, so I can come back and check on it later.

    Thanks for the help!
  • 0
    The command looks at today's existing logs, not the Live Logs, so the answer will be almost instant.

    If the link above to #1 in Rulz didn't help you, sarge, you likely have a routing problem.  In that case, check #3 through #5.  Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    It looks like the problem is happening in the web filtering, but I don't know why.  When I enter the URL into the Policy Helpdesk, it comes back as "blocked" due to "Authorization Required", but that is the only time I see traffic hit the destination system.  If I try to access the destination system from a PC (going through UTM), I never see the traffic hit the destination.  If I test the policy, I see the traffic hit, but I obviously can't do anything with it.  I even setup a WebFilter policy to allow everything, and I still can't get to the destination server from a client machine.

    I checked Rulz 3 & 5.  Nothing there.  I did have some violations of those two, but they were "shots in the dark" in earlier testing.  All relevant objects are properly configured at this point, but still a no-go.
  • 0
    Let's look at a line from the Web Filtering log file where the URL was blocked.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I guess you were right after all.  My client was going out UTM, and hairpinning back in... rather than going out the cellular interface for testing.  So the issue was in the client... not UTM.  Seems to be working fine now.

    Although... I am still confused about why I saw the inbound traffic getting NATed and allowed, but never seeing it hit the server.  Oh well...  It's working from outside the network, and that is what I was trying to test.

    Thanks again.
  • 0
    Accessing Internal or DMZ Webserver from Internal Network explains this and presents two solutions.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    The -f flag for tail can follow the file(s).

    $ tail -qf /var/log/*.log


    Combine with -n n to look at the last n lines.
    $ tail -n 500 -qf /var/log/*.log


    Pipe into grep and/or other tools.
    $ tail -n 500 -qf /var/log/*.log | grep -F 66.77.88.99
Unfiltered HTML