Руководство Пользователя для Cisco Cisco Firepower Management Center 2000
69-10
FireSIGHT 系统用户指南
第 69 章 审计系统
查看系统日志
提示
在 3D9900 上,Load Balancing Interface Module (LBIM) 向设备的系统日志转发消息。您可以通过
在
在
lbim
上过滤来找到这些消息。
过滤系统日志消息
许可证:任何环境
您可以使用过滤功能查看特定组件的系统日志消息。过滤功能使您可以根据内容搜索特定的消息。
过滤功能使用 UNIX 文件搜索实用程序 Grep,正因如此,您可以使用 Grep 接受的大部分语法。
这包括使用与 Grep 兼容的正则表达式实现模式匹配。您可以使用一个单词作为过滤器,也可以
使用 Grep 支持的正则表达式搜索内容。
这包括使用与 Grep 兼容的正则表达式实现模式匹配。您可以使用一个单词作为过滤器,也可以
使用 Grep 支持的正则表达式搜索内容。
下表显示了在系统日志过滤器中可以使用的正则表达式语法:
下表显示了您可在 System Log 页面使用的某些示例过滤器。
表
69-6
系统日志过滤器语法
语法构成
说明
示例
.
匹配任意字符或空格
Admi.
匹配
Admin
、
AdmiN
、
Admi1
和
Admi&
[[:alpha:]]
匹配任意字母字符
[[:alpha:]]dmin
匹配
Admin
、
bdmin
和
Cdmin
[[:upper:]]
匹配任意大写字母字符
[[:upper:]]dmin
匹配
Admin
、
Bdmin
和
Cdmin
[[:lower:]]
匹配任意小写字母字符
[[:lower:]]dmin
匹配
admin
、
bdmin
和
cdmin
[[:digit:]]
匹配任意数字字符
[[:digit:]]dmin
匹配
0dmin
、
1dmin
和
2dmin
[[:alnum:]]
匹配任意字母数字字符
[[:alnum:]]dmin
匹配
1dmin
、
admin
、
2dmin
和
bdmin
[[:space:]]
匹配任意空格,包括选项卡
Feb[[:space:]]29
匹配从 2 月 29 日起的日志。
*
匹配其符合的字符或表达式的零个或更多实例
ab*
匹配
a
、
ab
、
abb
、
ca
、
cab
和
cabb
[ab]*
匹配所有字符
?
匹配零个或一个实例
ab?
匹配
a
或
ab
。
\
您可以搜索一般会被解释为正则表达式语法的
字符
字符
alert\?
匹配
alert?
。
表
69-7
系统日志过滤器示例
要搜索所有下列日志条目......
使用......
在 11 月 5 日生成
Nov[[:space:]]*5
包含用户名“Admin”
管理
包含 11 月 5 日的授权调试信息
Nov[[:space:]]*5.*AUTH.*DEBUG