Cisco Cisco Firepower Management Center 4000 User Guide

69-10

FireSIGHT 系统用户指南

第 69 章      审计系统       

  查看系统日志

提示

在 3D9900 上，Load Balancing Interface Module (LBIM) 向设备的系统日志转发消息。您可以通过
在 

lbim

 上过滤来找到这些消息。

过滤系统日志消息

许可证：任何环境

您可以使用过滤功能查看特定组件的系统日志消息。过滤功能使您可以根据内容搜索特定的消息。

过滤功能使用 UNIX 文件搜索实用程序 Grep，正因如此，您可以使用 Grep 接受的大部分语法。
这包括使用与 Grep 兼容的正则表达式实现模式匹配。您可以使用一个单词作为过滤器，也可以
使用 Grep 支持的正则表达式搜索内容。

下表显示了在系统日志过滤器中可以使用的正则表达式语法：

下表显示了您可在 System Log 页面使用的某些示例过滤器。

表 

系统日志过滤器语法 

语法构成

说明

示例

.

匹配任意字符或空格

Admi.

匹配 

Admin

、

AdmiN

、

Admi1

 和 

Admi&

[[:alpha:]]

匹配任意字母字符

[[:alpha:]]dmin

 匹配 

Admin

、

bdmin

 和 

Cdmin

[[:upper:]]

匹配任意大写字母字符

[[:upper:]]dmin

 匹配 

Admin

、

Bdmin

 和 

Cdmin

[[:lower:]]

匹配任意小写字母字符

[[:lower:]]dmin

 匹配 

admin

、

bdmin

 和 

cdmin

[[:digit:]]

匹配任意数字字符

[[:digit:]]dmin

 匹配 

0dmin

、

1dmin

 和 

2dmin

[[:alnum:]]

匹配任意字母数字字符

[[:alnum:]]dmin

 匹配 

1dmin

、

admin

、

2dmin

 和 

bdmin

[[:space:]]

匹配任意空格，包括选项卡

Feb[[:space:]]29

 匹配从 2 月 29 日起的日志。

*

匹配其符合的字符或表达式的零个或更多实例

ab*

 匹配 

a

、

ab

、

abb

、

ca

、

cab

 和 

cabb

[ab]*

 匹配所有字符

？

匹配零个或一个实例

ab?

匹配 

a

 或 

ab

。

\

您可以搜索一般会被解释为正则表达式语法的
字符

alert\?

匹配 

alert?

。

表 

系统日志过滤器示例 

要搜索所有下列日志条目......

使用......

在 11 月 5 日生成

Nov[[:space:]]*5

包含用户名“Admin”

管理

包含 11 月 5 日的授权调试信息

Nov[[:space:]]*5.*AUTH.*DEBUG