{"id":11916,"date":"2020-12-02T16:02:35","date_gmt":"2020-12-02T15:02:35","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=11916"},"modified":"2024-07-23T15:16:03","modified_gmt":"2024-07-23T13:16:03","slug":"howto-verwendung-von-regex-suchmustern-bei-der-suche-im-firebox-system-manager","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2020\/12\/howto-verwendung-von-regex-suchmustern-bei-der-suche-im-firebox-system-manager\/","title":{"rendered":"HOWTO – Verwendung von REGEX Suchmustern bei der Suche im Firebox System Manager"},"content":{"rendered":"

Die Suche im Traffic Monitor wird oft als schwach bezeichnet, weil hier keine “wildcards” unterst\u00fctzt werden.<\/p>\n

Diese Aussage ist jedoch schlicht falsch, da der FSM sehr wohl wildcards unterst\u00fctzt, allerdings nicht die “\u00fcblichen Verd\u00e4chtigen” und zudem erst nach zus\u00e4tzlicher Aktivierung der Suchmuster (REGEX). Wenn man sich ein wenig eingearbeitet hat, enth\u00e4lt der FSM durch Vewendung der REGEX einen der leistungsf\u00e4higsten Suchfilter, die so \u00fcblicherweise zur Verf\u00fcgung gestellt werden. Leider sind REGEX nicht wirklich intuitiv \ud83d\ude42<\/p>\n

<\/p>\n

Vorbereitungen:<\/h4>\n

Zun\u00e4chst schaltet man im Firebox System Manager unter FILE > SETTINGS<\/strong> die Regul\u00e4ren Ausdr\u00fccke frei:<\/p>\n

\"\"<\/a><\/p>\n

Die “Maximum Log Messages” in Tausend Zeilen stehen per Default auf 1 (=1000 Log-Zeilen).<\/p>\n

Diese sind f\u00fcr den t\u00e4glichen Gebrauch meist viel zu niedrig, weil man \u00fcblicherweise ein intensives Logging aktiviert hat und damit deutlich mehr Logzeilen geschrieben werden. Der FSM holt dann alle 5 Sekunden die oben angegebene Anzahl Log-Zeilen von der Firebox (1000 Zeilen in 5 Sekunden sind bei gr\u00f6\u00dferen Fireboxen einfach zu wenig). Werte zwischen 15 und 25 haben sich als praktikabel erwiesen.<\/p>\n

Vorsicht hierbei beim “Remote-Managen” einer Box, die hinter einer sehr langsamen Leitung steht (z.B. ADSL\u00a0 6000). Durch den sehr beschr\u00e4nkten Upload kann man sich hier ggf. selbst ein Bein stellen.<\/p>\n

Logzeilen sind i.d.R. zwischen 150 und 600 Characters (z.B. im inneren eines HTTPS-Proxies mit Deep Inspection und langen URLs). Bei 150 Characters und 20.000 Log-Zeilen sind wir hier bereits bei 3 MByte \/ 5 Sekunden, was dann etwa knapp 5 MBit\/s entspricht.<\/p>\n

F\u00fcr o.g. langsame Au\u00dfenstellen sollte man sich dann doch eher mit weniger Zeilen begn\u00fcgen, oder die Suche \u00fcber eine Dimension komplett auslagern.<\/p>\n

Weiterhin sollte man den Suchmodus auf Filter Search Results stellen:<\/p>\n

\"\"<\/a><\/p>\n

REGEX<\/h4>\n

Nachdem man obige Einstellungen get\u00e4tigt hat, kann man in der Suchmaske rechts auch Regul\u00e4re Ausdr\u00fccke (REGEX) verwenden.<\/p>\n

Was sind nun eigentlich REGEX? Regul\u00e4re Ausdr\u00fccke sind “Beschreibungssprache” f\u00fcr Zeichenketten (genauere Infos z.B. bei Wikipedia, s.u.).<\/p>\n

Man kann in Programmiersprachen ziemlich tief in REGEX eintauchen – ich m\u00f6chte mich in diesem Tutorial aber auf wenige F\u00e4lle spezialisieren, die hier beim FSM besonders hilfreich sind.<\/p>\n

JOKER-Zeichen<\/h4>\n

Nat\u00fcrlich gibt es in Regul\u00e4ren Ausdr\u00fccken Joker-Zeichen:<\/p>\n

.          => ein beliebiges Zeichen, entspricht \"?\" in der DOS-Box\r\n*          => der Ausdruck links davon \"null oder viele Male\"\r\n+          => der Ausdruck links davon \"ein oder viele Male\"\r\n\\          => das nachfolgende Zeichen \"literally\"\r\n.*         => ein bielibiges Zeichen, null oder viele Male => entspricht \"*\" in der DOS-Box<\/pre>\n
Damit w\u00fcrde man ein *.doc<\/strong> also entweder als .*\\.doc <\/strong>oder als .+\\.doc<\/strong> schreiben. In den meisten F\u00e4llen muss der .<\/strong><\/span> aber nicht durch \\.<\/strong> beschrieben werden, da ein .<\/strong>\u00a0ja auch einem beliebigen Zeichen<\/strong> entspricht und damit ein .*.doc<\/strong> meistens nahe genug am gesuchten String ist.<\/p>\n
Beispiel<\/h4>\n
Suchstring: 10.10.1.3.*dns.*=”A”<\/strong><\/p>\n
Dabei wurden die Punkte in der IP-Adresse gelassen, dann wurde versucht auf DNS aus dns\/udp zu matchen, und auf den type=”A” der Zeile.<\/p>\n
Ergebnis:<\/p>\n
2020-12-02 14:25:26 Allow 10.10.1.3 10.10.1.11 dns\/udp 50151 53 Trusted Firebox DNS Forwarding 71 128 (Internal Policy) ...\r\n2020-12-02 14:25:43 Allow 10.10.1.36 10.10.1.11 dns\/udp 39297 53 Trusted Firebox DNS Forwarding 62 64 (Internal Policy) ...\r\n2020-12-02 14:26:18 Allow 10.10.1.3 10.10.1.11 dns\/udp 59785 53 Trusted Firebox DNS Forwarding 66 128 (Internal Policy) ...\r\n2020-12-02 14:26:18 Allow 10.10.1.3 10.10.1.11 dns\/udp 53603 53 Trusted Firebox DNS Forwarding 79 128 (Internal Policy) ...\r\n2020-12-02 14:26:39 Allow 10.10.1.3 10.10.1.11 dns\/udp 55703 53 Trusted Firebox DNS Forwarding 80 128 (Internal Policy) ...\r\n2020-12-02 14:27:14 Allow 10.10.1.3 10.10.1.11 dns\/udp 53617 53 Trusted Firebox DNS Forwarding 73 128 (Internal Policy) ...\r\n<\/pre>\n
(Logzeilen f\u00fcr den Artikel gek\u00fcrzt)
\nWie man sieht, ist der Match auf die IP nicht eindeutig, weil die 10.10.1.3 auch auf die 10.10.1.36 matcht.<\/p>\n
Ein entsprechendes Leerzeichen nach der “10.10.1.3 ” im Suchmuster behebt dies.<\/strong><\/p>\n
Alternativen, Verkettungen – ODER<\/h4>\n
Mit dem | Zeichen kann man Bedingungen mittels “oder” verkn\u00fcpfen, und Klammern sind ebenfalls m\u00f6glich.<\/p>\n
Beispiel<\/h4>\n
Suchstring: “<\/strong> (10.10.1.3|10.10.1.5) .* dns\/udp “<\/strong><\/p>\n
(Bitte die Leerzeichen im Suchstring beachten. Die Anf\u00fchrungszeichen sind nicht Teil des Suchstrings, sie sollen nur zeigen, dass zu Beginn und Ende des Suchstrings entsprechende Leerzeichen sitzen.<\/p>\n
Hier wird also nach den IP-Adressen 10.10.1.3 oder 10.10.1.5 gesucht, und zwar nach DNS-Queries via UDP.<\/p>\n
Das l\u00e4sst sich beliebig verketten:<\/p>\n
Suchstring: “<\/strong> (10.10.1.3|10.10.1.5) .* https\/tcp .* (ProxyAllow|ProxyInspect)”<\/strong><\/p>\n
NOT – negativer lookahead<\/h4>\n
Leider ist REGEX relativ schwach in verneinten Matches – also filtern aller Zeilen, die bestimmte Texte enthalten.
\nHier kann man den weg \u00fcber einen sogenannten “negativen look-ahead” gehen. Die Schreibweise hierzu ist: (?!verbotener-text)<\/strong><\/p>\n
Beispiel<\/h4>\n
Suchstring:\u00a0 ” 10.10.1.3 .* dns\/udp ”
\n<\/strong>(wieder ohne Anf\u00fchrungszeichen…)<\/p>\n
2020-12-02 15:15:55 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:16:03 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:16:11 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:16:19 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:16:28 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:16:36 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:16:44 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:16:44 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"clients4.google.com\" \tTraffic\r\n2020-12-02 15:16:44 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"oauthaccountmanager.googleapis.com\" \tTraffic\r\n2020-12-02 15:16:52 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:17:00 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:17:08 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"AAAA\" question=\"radius.maiers.de\" \tTraffic\r\n2020-12-02 15:17:09 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"rts-euc.freshworksapi.com\" \tTraffic\r\n2020-12-02 15:17:09 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"mtalk.google.com\" \tTraffic\r\n<\/pre>\n
(Logzeilen f\u00fcr den Artikel gek\u00fcrzt)
\nIch will nun das Suchergebnis einschr\u00e4nken und Requests nach meinem Radius-Server filtern und nur den Rest zeigen.
\nDazu wird der Suchstring von oben um einen negativen lookahead erg\u00e4nzt. Ich suche nach Zeilen, die nach “question=” zus\u00e4tzlich nicht (beliebige Zeichen + Radius) enthalten.<\/p>\n
Suchstring:\u00a0 ” 10.10.1.3 .* dns\/udp.*question=(?!.*radius)”<\/strong><\/p>\n
2020-12-02 15:16:44 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"clients4.google.com\" \tTraffic\r\n2020-12-02 15:16:44 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"oauthaccountmanager.googleapis.com\" \tTraffic\r\n2020-12-02 15:17:09 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"rts-euc.freshworksapi.com\" \tTraffic\r\n2020-12-02 15:17:09 Allow 10.10.1.3 10.10.1.11 dns\/udp ... type=\"A\" question=\"mtalk.google.com\" \tTraffic\r\n<\/pre>\n
Weiterf\u00fchrende Links:<\/h5>\n