ESA-, SMA- und WSA-Grep mit Regex zum Durchsuchen von Protokollen

Download-Optionen

  • PDF     (252.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (86.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (70.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. Juli 2014
Dokument-ID:117968

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Verwendung von regulären Ausdrücken (regex) mit dem Befehl grep zum Durchsuchen von Protokollen beschrieben.

Voraussetzungen

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Web Security Appliance (WSA)
  • Cisco E-Mail Security Appliance (ESA)
  • Cisco Security Management Appliance (SMA)

Grep mit Regex

Regex kann ein leistungsstarkes Tool sein, wenn es mit dem Befehl grep verwendet wird, um Protokolle zu durchsuchen, die auf der Appliance verfügbar sind, wie Zugriffsprotokolle, Proxy-Protokolle und andere. Mithilfe des Befehls grep CLI können Sie die Protokolle auf Basis der Website oder eines beliebigen Teils der URL sowie der Benutzernamen durchsuchen.

Hier sind einige gängige Szenarien, in denen Sie regex mit dem Befehl grep verwenden können, um bei der Fehlerbehebung zu helfen.

Szenario 1: Suchen nach einer bestimmten Website in den Zugriffsprotokollen

Das häufigste Szenario ist, wenn Sie versuchen, Anforderungen zu finden, die an eine Website in den Zugriffsprotokollen der WSA gestellt werden.

Hier ein Beispiel:

Stellen Sie über Secure Shell (SSH) eine Verbindung zur Appliance her. Nachdem Sie die Eingabeaufforderung erhalten haben, geben Sie den Befehl grep ein, um die verfügbaren Protokolle aufzulisten.

CLI> grep

Geben Sie die Nummer des Protokolls ein, das Sie erstellen möchten.

[]> 1 (Choose the # for access logs here)

Geben Sie den regulären Ausdruck für grep ein.

[]> website\.com

Szenario 2: Versuch, eine bestimmte Dateiendung oder Domäne oberster Ebene zu finden

Sie können den Befehl grep verwenden, um eine bestimmte Dateierweiterung (.doc, .pptx) in einer URL oder einer Domäne oberster Ebene (.com, .org) zu finden.

Hier ein Beispiel:

Um alle URLs zu finden, die mit .crl enden, verwenden Sie diesen regulären Ausdruck:

\.crl$

Um alle URLs zu finden, die die Dateierweiterung .pptx enthalten, verwenden Sie diesen Regex:

\.pptx

Szenario 3: Versuch, einen bestimmten Baustein für eine Website zu finden

Wenn Sie nach einer bestimmten Website suchen, können Sie auch nach einer bestimmten HTTP-Antwort suchen.

Hier ein Beispiel:

Wenn Sie nach allen TCP_DENIED/403-Nachrichten für domain.com suchen möchten, verwenden Sie diesen Regex:

tcp_denied/403.*domain\.com

Szenario 4: Suchen eines Systemnamens in den Zugriffsprotokollen

Wenn Sie das NTLMSSP-Authentifizierungsschema verwenden, kann es bei der Authentifizierung zu einer Instanz kommen, bei der ein Benutzer-Agent (Microsoft NCSI ist die gängigste Lösung) nicht die Anmeldeinformationen des Benutzers, sondern die Anmeldeinformationen des Computers falsch sendet. Um die URL/den Benutzer-Agent zu ermitteln, die/der dieses Problem verursacht, verwenden Sie regex mit grep, um die Anforderung zu isolieren, die bei der Authentifizierung erfolgt ist.

Wenn Sie nicht über den verwendeten Computernamen verfügen, verwenden Sie grep, und suchen Sie nach allen Computernamen, die bei der Authentifizierung mit diesem regulären Ausdruck als Benutzernamen verwendet wurden:

\$@

Wenn Sie die Zeile haben, in der dies auftritt, grep für den spezifischen Computernamen, der mit diesem regulären Ausdruck verwendet wurde:

machinename\$

Der erste Eintrag, der angezeigt wird, sollte die Anforderung sein, die bei der Authentifizierung des Benutzers mit dem Computernamen anstelle des Benutzernamens erfolgt ist.

Szenario 5: Suchen eines bestimmten Zeitraums in den Zugriffsprotokollen

Standardmäßig enthalten Zugriffsprotokollabonnements nicht das Feld, in dem Datum und Uhrzeit angezeigt werden, die von Menschen gelesen werden können. Wenn Sie die Zugriffsprotokolle für einen bestimmten Zeitraum überprüfen möchten, gehen Sie wie folgt vor:

  1. Suchen Sie den UNIX-Zeitstempel von einer Website wie Online Conversion.
  2. Sobald der Zeitstempel angezeigt wird, suchen Sie in den Zugriffsprotokollen nach einer bestimmten Zeit.

Hier ein Beispiel:

Ein Unix-Zeitstempel von 1325419200 entspricht 01.01.2012 12:00:00.

Sie können diesen Regex-Eintrag verwenden, um die Zugriffsprotokolle am 1. Januar 2012 um 12:00 Uhr zu durchsuchen:

13254192

Szenario 6: Suchen nach kritischen Meldungen oder Warnmeldungen

Sie können in allen verfügbaren Protokollen nach kritischen Meldungen oder Warnmeldungen suchen, z. B. in Proxyprotokollen oder Systemprotokollen mit regulären Ausdrücken.

Hier ein Beispiel:

Um in den Proxy-Protokollen nach Warnmeldungen zu suchen, geben Sie den folgenden regulären Ausdruck ein:

CLI> grep

Geben Sie die Nummer des Protokolls ein, das Sie erstellen möchten.

[]> 17 (Choose the # for proxy logs here)

Geben Sie den regulären Ausdruck für grep ein.

[]> warning

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
16-Jul-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jeff Richmond
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.