セキュリティ : Cisco E メール セキュリティ アプライアンス

ログを検索する Regex の ESA、SMA および WSA グレップ

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 4 月 23 日) | フィードバック

概要

この資料にログを検索するために grep コマンドで正規表現(regex)を使用する方法を記述されています。

ジェフ リッチモンドによって貢献される、Cisco TAC エンジニア。

前提条件

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco Web セキュリティ アプライアンス(WSA)
  • Cisco E メール セキュリティ アプライアンス(ESA)
  • Ciscoセキュリティ 管理 アプライアンス(SMA)

Regex のグレップ

Regex はアクセスのようなアプライアンスで、利用可能 なログ記録 します、プロキシ ログ、および他を検索する grep コマンドで使用されたとき強力なツールである場合もあります。 Webサイトに、かグレップ CLI コマンドで URL 基づいてログおよびユーザネームの部分を検索できます。

grep コマンドでトラブルシューティングと助けるために regex を使用できるところにいくつかの一般的 な シナリオはここにあります。

シナリオ 1: アクセス ログの特定の Webサイトを見つけて下さい

もっとも一般的な シナリオは WSA のアクセス ログの Webサイトになされる Find 要求に試みるときあります。

次に例を示します。

セキュア シェル(SSH)によるアプライアンスへの接続応答。 プロンプトがあったら、利用可能 なログをリストするために grep コマンドを入力して下さい。

CLI> grep

グレップに希望するログの数を入力して下さい。

[]> 1 (Choose the # for access logs here)

グレップに正規表現を入力して下さい。

[]> website\.com

シナリオ 2: 特定のファイル ファイル拡張子かトップレベル ドメインを見つける試み

.org)で特定のファイル拡張子(.doc、.pptx)を URL またはトップレベル ドメイン(.com 見つけるために grep コマンドを使用できます。

次に例を示します。

.crl で終了するすべての URL を見つけるために、この regex を使用して下さい:

\.crl$

ファイル拡張子 .pptx が含まれているすべての URL を見つけるために、この regex を使用して下さい:

\.pptx

シナリオ 3: Webサイトのための特定のブロックを見つける試み

特定の Webサイトを捜すとき、また特定の HTTP応答を捜すかもしれません。

次に例を示します。

domain.com のためのすべての TCP_DENIED/403 メッセージを捜したいと思う場合この regex を使用して下さい:

tcp_denied/403.*domain\.com

シナリオ 4: アクセス ログのマシン名を検索して下さい

NTLMSSP 認証機構を使用するとき、認証するときユーザ エージェントがユーザーの資格情報の代りに(Microsoft NCSI はもっとも一般的なです)不正確にマシン 資格情報を送信 する 例に出会うかもしれません。 認証が行われたときにこの問題を引き起こしている URL/User エージェントを見つけ出すために、なされる要求を隔離するためにグレップと regex を使用して下さい。

使用したマシン名を持たなかったら、グレップを使用し、この regex と認証した場合ユーザネームとして使用したすべてのマシン名を検索して下さい:

\$@

これが発生する行があれば、この regex と使用した特定のマシン名のためのグレップ:

machinename\$

現われる最初のエントリは要求であるはずですときにユーザネームの代りにマシン名と認証されたユーザ作られた。

シナリオ 5: アクセス ログの特定 の 期間を見つけて下さい

デフォルトで、アクセス ログ サブスクリプションはフィールドが含まれていません人が読み取り可能な日付/時間を示す。 チェックしたいと思えばアクセスは特定の時間の間、完了しますこれらのステップを記録 します:

  1. オンライン変換のようなサイトからの UNIX タイムスタンプを調べて下さい。
  2. タイムスタンプがあったら、アクセス ログ内の特定時を捜して下さい。

次に例を示します。

1325419200 の Unix タイムスタンプは 01/01/2012 12:00:00 と同等です。

2012 年 1月 1 日 12:00 の近くのアクセス ログを検索するためにこの regex エントリを使用できます:

13254192

シナリオ 6: 重要か警告メッセージのための検索

あらゆる利用可能 なログの重要か警告メッセージを、正規表現のプロキシ ログまたはシステムログのような、捜すことができます。

次に例を示します。

プロキシ ログの警告メッセージを捜すために、この regex を入力して下さい:

CLI> grep

グレップに希望するログの数を入力して下さい。

[]> 17 (Choose the # for proxy logs here)

グレップに正規表現を入力して下さい。

[]> warning

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117968