Sシリーズアプライアンスのアクセスログを検索するにはどうすればよいですか。
Cisco Webセキュリティアプライアンス(WSA)のコマンドラインインターフェイスから、grepコマンドを使用してアクセスログをフィルタリングし、何がブロックされているかを判別できます。次に、ブロックされているすべてのトラフィックを表示する例を示します。
0.--------------------------------------------
TestS650.wsa.com ()> grep
現在設定されているログ:
1. 「アクセスログ」タイプ: 「アクセスログ」取得: FTPポーリング
<...>
18. 「welcomeack_logs」タイプ:「Welcome Page Acknowledgement Logs」
取得:FTPポーリング
grepするログの番号を入力します。
[]> 1
正規表現を入力してgrepします。
[]>ブロック_
Do you want this search to be case insensitive?(この検索で大文字小文字を区別しますか?)[Y]> n
Do you want to tail the logs?(ログの最後を表示しますか?)[N]> n
Do you want to paginate the output?(出力をページングしますか?)[N]> n
(エントリが表示されます)
0.------------------------------------------
正規表現の質問では、BLOCK_(引用符なし)を入力して、WSAがブロックしたすべての要求を表示できます。(警告:このリストは非常に長くなることがあります)。
特定のサイトに関連する長いアクセスのエントリを表示する場合は、サイトURLの一部を入力することもできます。たとえば、正規表現にwindowsupdateと入力すると、windowsupdate.microsoft.comのWindows Update URLを含むすべてのアクセスログエントリが表示されます。
もう少し高度な機能として、同様にブロックされたwindowsupdateをURLに含むサイトのアクセスログエントリを表示する場合は、正規表現 windowsupdate.*BLOCK_を使用できます。改定 | 発行日 | コメント |
---|---|---|
1.0 |
15-Jul-2014 |
初版 |