更新时间:2022-08-13 21:30:54
正则解析是处理文本解析的有力工具。常用写法:(?<名称>匹配规则),表示将匹配规则的值命名为名称,常用符号如下所示:
系统支持以下 2 种正则表达式的创建方式,且 2 种方式可同时使用:
• 手动填写正则表达式:
示例:将 AnyShare 访问日志作为日志样例,通过解析规则从中提取时间、用户、IP地址、登录详情等字段的信息。
手动填写正则表达式后,点击【验证】解析文本中的字段名对应的内容均以不同颜色进行框选展示,在页面右侧可查看解析结果,如下所示:
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/4_1_2_1_%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%89%8B%E5%8A%A8%E5%A1%AB%E5%86%99%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F_M15.png)
注意:在填写正则表达式时,遇到特殊字符 [,],(,),{,},?,.,s,S,d,D,w,W,\,*,|,必须在前面添加转义字符 \ 。
• 框选划词:自动生成正则表达式
示例:将 Agent 审计日志作为样例,从中提取 IP 字段,具体操作如下:
1) 手动框选取需要提取的字段内容,此处选择“192.168.84.177”,在字段提取窗口自定义字段名称“主机地址”;
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%A1%86%E9%80%89%E5%88%92%E8%AF%8D_%E5%AD%97%E6%AE%B5%E6%8F%90%E5%8F%96_3_0_17_5.png)
2)点击【确定】自动生成正则表达式并同步验证,在页面右侧可查看解析后结果,如下所示:
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%A1%86%E9%80%89%E5%88%92%E8%AF%8D_%E5%AD%97%E6%AE%B5%E6%8F%90%E5%8F%96-%E6%9F%A5%E7%9C%8B%E7%BB%93%E6%9E%9C_3_0_17_5.png)
说明:字段名称不允许为空,或以 @、_ 、数字开头;且不允许与系统已有字段重名。
3)鼠标悬停至解析文本框中已框选的字段,显示编辑和删除按钮,可对其进行编辑、删除操作,如下所示:
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%A1%86%E9%80%89%E5%88%92%E8%AF%8D_%E7%BC%96%E8%BE%91%E6%A1%86%E9%80%89%E5%AD%97%E6%AE%B5_3_0_17_5.png)
符号 | 符号说明 |
\S | 表示匹配非空格字符 |
\S+ | 表示匹配连续的非空格字符 |
\s | 表示匹配空格 |
[^,]* | 表示匹配非 ",”的字段 0 次或多次 |
\d | 表示匹配数据 0~9 |
? | 表示 1 个对象匹配 |
* | 表示 0 个以上对象匹配 |
+ | 表示 1 个以上对象匹配 |
• 手动填写正则表达式:
示例:将 AnyShare 访问日志作为日志样例,通过解析规则从中提取时间、用户、IP地址、登录详情等字段的信息。
手动填写正则表达式后,点击【验证】解析文本中的字段名对应的内容均以不同颜色进行框选展示,在页面右侧可查看解析结果,如下所示:
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/4_1_2_1_%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%89%8B%E5%8A%A8%E5%A1%AB%E5%86%99%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F_M15.png)
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%B3%A8%E6%84%8F%20(1)_24.png)
• 框选划词:自动生成正则表达式
示例:将 Agent 审计日志作为样例,从中提取 IP 字段,具体操作如下:
1) 手动框选取需要提取的字段内容,此处选择“192.168.84.177”,在字段提取窗口自定义字段名称“主机地址”;
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%A1%86%E9%80%89%E5%88%92%E8%AF%8D_%E5%AD%97%E6%AE%B5%E6%8F%90%E5%8F%96_3_0_17_5.png)
2)点击【确定】自动生成正则表达式并同步验证,在页面右侧可查看解析后结果,如下所示:
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%A1%86%E9%80%89%E5%88%92%E8%AF%8D_%E5%AD%97%E6%AE%B5%E6%8F%90%E5%8F%96-%E6%9F%A5%E7%9C%8B%E7%BB%93%E6%9E%9C_3_0_17_5.png)
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%B3%A8%E6%84%8F%20(1)_24.png)
3)鼠标悬停至解析文本框中已框选的字段,显示编辑和删除按钮,可对其进行编辑、删除操作,如下所示:
![](https://new-official-website-1256829807.cos.ap-shanghai.myqcloud.com/images/%E6%AD%A3%E5%88%99%E8%A7%A3%E6%9E%90_%E6%A1%86%E9%80%89%E5%88%92%E8%AF%8D_%E7%BC%96%E8%BE%91%E6%A1%86%E9%80%89%E5%AD%97%E6%AE%B5_3_0_17_5.png)
< 上一篇:
下一篇: >