ESA, SMA e WSA Grep con Regex per cercare i log

Opzioni per il download

  • PDF     (250.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (83.7 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (67.2 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 luglio 2014
ID documento:117968

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come usare le espressioni regolari (regex) con il comando grep per cercare nei log.

Prerequisiti

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco Web Security Appliance (WSA)
  • Cisco Email Security Appliance (ESA)
  • Cisco Security Management Appliance (SMA)

Grep con Regex

Regex può essere uno strumento efficace se utilizzato con il comando grep per eseguire ricerche nei log disponibili sull'accessorio, ad esempio i log degli accessi, i log proxy e altri ancora. È possibile eseguire la ricerca nei log basati sul sito Web o su qualsiasi parte dell'URL e nei nomi utente con il comando grep CLI.

Di seguito sono riportati alcuni scenari comuni in cui è possibile utilizzare regex con il comando grep per semplificare la risoluzione dei problemi.

Scenario 1: Individuazione di un particolare sito Web nei log degli accessi

Lo scenario più comune si verifica quando si cerca di trovare le richieste inviate a un sito Web nei log degli accessi del WSA.

Di seguito è riportato un esempio:

Collegare l'accessorio tramite SSH (Secure Shell). Una volta visualizzato il prompt, immettere il comando grep per elencare i log disponibili.

CLI> grep

Immettere il numero del registro che si desidera conservare.

[]> 1 (Choose the # for access logs here)

Immettete l'espressione regolare grep.

[]> website\.com

Scenario 2: tentativo di trovare una particolare estensione di file o un dominio di primo livello

È possibile utilizzare il comando grep per trovare una particolare estensione di file (doc, pptx) in un URL o in un dominio di primo livello (com, org).

Di seguito è riportato un esempio:

Per trovare tutti gli URL che terminano con .crl, utilizzare questo regex:

\.crl$

Per trovare tutti gli URL con estensione pptx, utilizzare questo regex:

\.pptx

Scenario 3: Tentativo di trovare un blocco particolare per un sito Web

Quando si cerca un particolare sito Web, è possibile cercare anche una particolare risposta HTTP.

Di seguito è riportato un esempio:

Se si desidera cercare tutti i messaggi TCP_DENIED/403 per domain.com, utilizzare questo regex:

tcp_denied/403.*domain\.com

Scenario 4: trovare il nome di un computer nei log degli accessi

Quando si utilizza lo schema di autenticazione NTLMSSP, è possibile che si verifichi un'istanza in cui un agente utente (Microsoft NCSI è il più comune) invia in modo non corretto le credenziali del computer anziché quelle dell'utente durante l'autenticazione. Per individuare l'URL/agente utente che causa il problema, usare regex con grep per isolare la richiesta effettuata quando si è verificata l'autenticazione.

Se non si dispone del nome computer utilizzato, utilizzare grep e cercare tutti i nomi computer utilizzati come nomi utente durante l'autenticazione con questo regex:

\$@

Una volta individuata la riga in cui si verifica questa condizione, utilizzare il comando grep per il nome di macchina specifico utilizzato con questo regex:

machinename\$

La prima voce visualizzata dovrebbe essere la richiesta effettuata quando l'utente ha eseguito l'autenticazione con il nome del computer anziché con il nome utente.

Scenario 5: trovare un periodo di tempo specifico nei log degli accessi

Per impostazione predefinita, le sottoscrizioni dei log degli accessi non includono il campo che mostra la data e l'ora leggibili dall'utente. Se si desidera controllare i log degli accessi per un determinato periodo di tempo, attenersi alla seguente procedura:

  1. Cercare il timestamp UNIX da un sito quale Conversione online.
  2. Una volta ottenuto l'indicatore orario, cercare un orario specifico all'interno dei log degli accessi.

Di seguito è riportato un esempio:

Un timestamp Unix di 1325419200 equivale a 01/01/2012 12:00:00.

È possibile utilizzare questa voce regex per cercare nei log degli accessi vicini alle 12:00 del 1 gennaio 2012:

13254192

Scenario 6: Ricerca di messaggi critici o di avvertenza

È possibile cercare messaggi critici o di avviso in qualsiasi log disponibile, ad esempio i log proxy o i log di sistema, con espressioni regolari.

Di seguito è riportato un esempio:

Per cercare i messaggi di avviso nei log proxy, immettere questo regex:

CLI> grep

Immettere il numero del registro che si desidera conservare.

[]> 17 (Choose the # for proxy logs here)

Immettete l'espressione regolare grep.

[]> warning

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
16-Jul-2014
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jeff Richmond
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti