grep와 정규식(regex)을 사용하여 로그를 검색하는 방법은 무엇입니까?

다운로드 옵션

  • PDF     (106.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (82.9 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (66.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2014년 10월 13일
문서 ID:118422

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

질문

grep와 정규식(regex)을 사용하여 로그를 검색하는 방법은 무엇입니까?

환경

Cisco Web Security Appliance
Cisco Email Security Appliance
Cisco Security Management Appliance

솔루션

정규식(regex)은 어플라이언스에서 사용 가능한 로그(예: 액세스 로그, 프록시 로그 등)를 검색하는 데 "grep" 명령과 함께 사용할 경우 강력한 툴이 될 수 있습니다.CLI 명령 "grep"를 사용할 때 웹 사이트 또는 URL의 일부 또는 사용자 이름을 기반으로 로그를 검색할 수 있습니다.

다음은 문제 해결을 지원하기 위해 regex와 grep를 함께 사용할 수 있는 몇 가지 일반적인 시나리오입니다.

시나리오 1:액세스 로그에서 특정 웹 사이트 찾기

가장 일반적인 시나리오는 Cisco WSA(Web Security Appliance)의 액세스 로그에서 웹 사이트에 대한 요청을 찾는 것입니다.

예를 들면 다음과 같습니다.
SSH를 통해 어플라이언스에 연결합니다.프롬프트가 표시되면 "grep" 명령을 입력하여 사용 가능한 로그를 나열할 수 있습니다.

CLI> grep

"grep"할 로그 번호를 입력합니다.
[]> 1(액세스 로그의 # 선택)

"grep"에 정규식을 입력합니다.
[]> 웹 사이트\.com

시나리오 2:특정 파일 확장명 또는 최상위 도메인을 찾는 중

"grep" 명령을 사용하여 URL 또는 최상위 도메인(.com, .org)에서 특정 파일 확장명(.doc, .pptx)을 찾을 수 있습니다.

예를 들면 다음과 같습니다.
.crl로 끝나는 모든 URL을 찾으려면 다음 regex를 사용할 수 있습니다.\.crl$

파일 확장명 .pptx가 포함된 모든 URL을 찾으려면 다음 regex를 사용할 수 있습니다.\.pptx

시나리오 3:웹 사이트에 대한 특정 블록을 찾는 중

특정 웹 사이트를 검색할 때 특정 HTTP 응답을 검색할 수도 있습니다.

예를 들면 다음과 같습니다.
domain.com에 대한 모든 TCP_DENIED/403 메시지를 검색하려면 다음 regex를 사용할 수 있습니다.tcp_denied/403.*domain\.com

시나리오 4:액세스 로그에서 머신 이름 찾기

NTLMSSP 인증 체계를 사용할 때 사용자 에이전트(Microsoft NCSI가 가장 일반적임)가 인증할 때 사용자 자격 증명 대신 머신 자격 증명을 잘못 전송하는 인스턴스가 나타날 수 있습니다.이러한 원인이 되는 URL/사용자 에이전트를 추적하려면 regex와 "grep"를 함께 사용하여 인증이 발생했을 때 수행된 요청을 격리할 수 있습니다.

사용된 머신 이름이 없는 경우 "grep"를 사용하여 다음 regex를 사용하여 인증할 때 사용자 이름으로 사용된 모든 머신 이름을 찾을 수 있습니다.\$@

이러한 현상이 발생하는 선이 있으면 다음 regex를 사용하여 사용한 특정 머신 이름에 대해 "grep"를 수행할 수 있습니다.컴퓨터 이름\$

첫 번째 항목은 사용자가 사용자 이름 대신 시스템 이름으로 인증할 때 만들어진 요청이어야 합니다.

시나리오 5:액세스 로그에서 특정 기간 찾기

기본적으로 액세스 로그 서브스크립션에는 사용자가 읽을 수 있는 날짜/시간을 표시하는 필드가 포함되지 않습니다.특정 기간 동안 액세스 로그를 확인하려면 다음 단계를 수행하십시오.

http://www.onlineconversion.com/unix_time.htm과 같은 사이트에서 UNIX 타임스탬프를 찾습니다.타임스탬프가 있으면 액세스 로그 내에서 특정 시간을 검색할 수 있습니다.

예를 들면 다음과 같습니다.
Unix 타임스탬프 1325419200은 01/01/2012 12:00:00과 같습니다.

2012년 1월 1일 12:00을 기준으로 다음 regex 항목을 사용하여 액세스 로그를 검색할 수 있습니다.13254192

시나리오 6:위험 또는 경고 메시지 검색

사용 가능한 모든 로그(예: 프록시 로그 또는 시스템 로그)에서 정규식을 사용하여 위험 또는 경고 메시지를 검색할 수 있습니다.

예를 들면 다음과 같습니다.
프록시 로그에서 경고 메시지를 검색하려면 다음 regex를 입력할 수 있습니다.

  1. CLI> grep
  2. "grep"할 로그 번호를 입력합니다.
    []> 17(여기에서 프록시 로그의 # 선택)
  3. "grep"에 정규식을 입력합니다.
    []> 경고

기타 유용한 링크:

정규식 - 사용 설명서

개정 이력

개정 게시 날짜 의견
1.0
13-Oct-2014
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품