Syntaxe dans le filtrage avancé des logs



  • Bonjour,

    Dans les logs je ne comprends pas comment rechercher un port précis en destination. Par exemple si je mets "25" dans le champ "Destination Port", il ressort tous les ports qui contiennent 25 (92540, 15250 etc…). Idem pour les IP, si je chercher "172.16.110.1", j'obtiens aussi "172.16.110.10".



  • Je n'ai pas creusé mais probablement http://www.php.net/manual/en/book.pcre.php



  • En effet, regular expressions.
    Par exemple, "[2][5]" dans le port de destination va ne montrer que le port 25  8)

    [2][5]  ce n'est pas une manière très élégante de le faire mais ça marche et c'est facile à comprendre.

    Garde aussi à l'esprit que pour plus de flexibilité, tu peux affiché les logs en mode raw.



  • Désolé mais je ne comprends pas trop comment utiliser ces expressions régulières.. Concrètement pour filter l'IP source "172.16.110.1" i lfaut mettre quoi ? J'ai testé [172.16.110.1] mais ça ne fonctionne pas. Avec 172.16.80.[1], j'ai aussi les IP 172.16.80.10, 172.16.80.128 etc…





  • J'ai essayé de comprendre les cours qu'on trouve sur le net mais rien n'y fait, je ne vois pas comment appliquer cela sur les champs de recherche de pfsense…
    J'ai essayé par exemple 172.16.110.1$ mais ce n'est pas ça non plus.





  • Le point étant un quantificateur dans regexp, il faut l'échapper lorsque c'est un littéral. Sinon c'est un quantificateur.



  • @chris4916:

    172.16.110.1
    http://www.expreg.com/symbole.php

    Merci et désolé, je sais que ce forum concerne pfsense et pas les expression régulières mais c'est gentil de m'aider.
    J'ai du mal à comprendre pourquoi "172.16.110.1" fonctionne sans mettre de $ à la fin ? pourquoi la 172.16.110.11 par exemple ne sortirait pas.

    Et sinon pour obtenir le port 465 en destination, j'ai essayé [4][6][5] mais ça donne aussi le port 11465.
    De même [8][0]$ rend tout ce qui finit par 80, mais ":[8][0]$" ou ":[8][0]$" ne rend rien quand on recherche le port 80 seul.



  • Les expressions régulières, c'est

    • de la doc : les liens ont été fournis,
    • et des essais … : on tape une expression, on regarde le résultat, et on réfléchit pourquoi cela ne correspond pas à ce qu'on espérait

    Par exemple, le . est clairement indiqué dans les docs, ainsi que la nécessité d''escaper' le . puisque c'est un caractère générique comme * et ?

    Le forum N'est PAS le lieu d'essai ...


Log in to reply