Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 11908 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Filtering live web logs

Coder68
I have looked around, but not found any help.

I have a live view of the web filtering logs open. 

I only want to show actions that are block or blocked.

I thought it used regex to do this. I tried:

(\W|^)blocked(\W|$) and (\W|^)block(\W|$)

Neither had any affect. 

I also tired just the word block and blocked. I hit enter at the end of each keyword and regex entry.

I have tried the latest versions of Chrome and Firefox. The UTM is up to date. The Filter has never done anything for me.

Can anyone please explain this to me?

Also, is there a good way to parse Sophos logs? They do not use a csv format or any other easy to parse format that I can see. I do a lot in Excel... 

Thanks,

C68


This thread was automatically locked due to age.
  • 0
    Can anyone please explain this to me?
    The live log filtering is simple and works with plain text only.  Filtered just fine for me using the word "block" (no quotes).

    Personally I prefer a grep/tail combo, but that's just me.

    is there a good way to parse Sophos logs


    What you want is reporting most likely.

    Logging & Reporting > Web Protection > Web Usage Report.  Read the help on this section.  There is a chart in there that tells you what information is in what type of report.  Reports can be downloaded as .csv, which will work in Excel.

    If you need something more robust, then you'll need to roll your own.  Some like exporting the logs to Splunk via Syslog (Logging & Reporting > Log Settings > Remote Syslog Server).  Then you can create whatever reports that you want, whenever you want.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Interesting. Filtering does not work for me in any browser.

    I am in the live log of Web Filtering from the web filtering area- not the logs area.

    See attached image for my search for block. I hit enter after typing block.
  • 0
    Do the colors follow those for the Firewall live logs? See https://your_utm:4444/help/en_US/Content/utm/netprot/Firewall-Rules.htm#kanchor787

    A quick test of the live log looked like it generally worked - the exception I noticed (packetfilter) may have been not filtering on information presented in the live log but not in the real logs.

    Good way to parse logs?  Command line text parsing, useful beyond UTMs.
  • 0
    I'm not 100% sure, but I think the filter only applies to new logs being added to the screen - it does not filter your existing screen full of information.

    Does that explain what you are seeing?

    By the way, the log is at /var/log/http.log if you want to do your own viewing on the box.
  • 0
    I think the filter only applies to new logs being added to the screen - it does not filter your existing screen full of information.

    Confirmed.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yeah, you are correct. It is only for new events.

    Thank you.
Unfiltered HTML