pfSense Support Subscription

Author Topic: Syntaxe dans le filtrage avancé des logs  (Read 153 times)

0 Members and 1 Guest are viewing this topic.

Offline gaelds

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Syntaxe dans le filtrage avancé des logs
« on: November 30, 2017, 09:04:56 am »
Bonjour,

Dans les logs je ne comprends pas comment rechercher un port précis en destination. Par exemple si je mets "25" dans le champ "Destination Port", il ressort tous les ports qui contiennent 25 (92540, 15250 etc...). Idem pour les IP, si je chercher "172.16.110.1", j'obtiens aussi "172.16.110.10".

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2815
  • Karma: +35/-11
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #1 on: November 30, 2017, 10:21:36 am »
Je n'ai pas creusé mais probablement http://www.php.net/manual/en/book.pcre.php

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1812
  • Karma: +89/-11
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #2 on: November 30, 2017, 11:52:39 am »
En effet, regular expressions.
Par exemple, "[2][5]" dans le port de destination va ne montrer que le port 25  8)

[2][5]  ce n'est pas une manière très élégante de le faire mais ça marche et c'est facile à comprendre.

Garde aussi à l'esprit que pour plus de flexibilité, tu peux affiché les logs en mode raw.

Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline gaelds

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #3 on: December 11, 2017, 04:17:38 am »
Désolé mais je ne comprends pas trop comment utiliser ces expressions régulières.. Concrètement pour filter l'IP source "172.16.110.1" i lfaut mettre quoi ? J'ai testé [172.16.110.1] mais ça ne fonctionne pas. Avec 172.16.80.[1], j'ai aussi les IP 172.16.80.10, 172.16.80.128 etc...
« Last Edit: December 11, 2017, 04:27:58 am by gaelds »

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2815
  • Karma: +35/-11
    • View Profile

Offline gaelds

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #5 on: December 11, 2017, 08:00:45 am »
J'ai essayé de comprendre les cours qu'on trouve sur le net mais rien n'y fait, je ne vois pas comment appliquer cela sur les champs de recherche de pfsense...
J'ai essayé par exemple 172.16.110.1$ mais ce n'est pas ça non plus.

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1812
  • Karma: +89/-11
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #6 on: December 11, 2017, 01:45:38 pm »
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2815
  • Karma: +35/-11
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #7 on: December 11, 2017, 03:06:13 pm »
Le point étant un quantificateur dans regexp, il faut l'échapper lorsque c'est un littéral. Sinon c'est un quantificateur.

Offline gaelds

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #8 on: December 12, 2017, 02:18:52 am »
172\.16\.110\.1
http://www.expreg.com/symbole.php

Merci et désolé, je sais que ce forum concerne pfsense et pas les expression régulières mais c'est gentil de m'aider.
J'ai du mal à comprendre pourquoi "172\.16\.110\.1" fonctionne sans mettre de $ à la fin ? pourquoi la 172.16.110.11 par exemple ne sortirait pas.

Et sinon pour obtenir le port 465 en destination, j'ai essayé [4][6][5] mais ça donne aussi le port 11465.
De même [8][0]$ rend tout ce qui finit par 80, mais "\:[8][0]$" ou ":[8][0]$" ne rend rien quand on recherche le port 80 seul.

Online jdh

  • Hero Member
  • *****
  • Posts: 1708
  • Karma: +43/-11
    • View Profile
Re: Syntaxe dans le filtrage avancé des logs
« Reply #9 on: December 12, 2017, 04:55:32 am »
Les expressions régulières, c'est
- de la doc : les liens ont été fournis,
- et des essais ... : on tape une expression, on regarde le résultat, et on réfléchit pourquoi cela ne correspond pas à ce qu'on espérait

Par exemple, le . est clairement indiqué dans les docs, ainsi que la nécessité d''escaper' le . puisque c'est un caractère générique comme * et ?

Le forum N'est PAS le lieu d'essai ...
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)