更新时间:2022-08-13 21:30:54
正则解析是处理文本解析的有力工具。常用写法:(?<名称>匹配规则),表示将匹配规则的值命名为名称,常用符号如下所示:
系统支持以下 2 种正则表达式的创建方式,且 2 种方式可同时使用:
• 手动填写正则表达式:
示例:将 AnyShare 访问日志作为日志样例,通过解析规则从中提取时间、用户、IP地址、登录详情等字段的信息。
手动填写正则表达式后,点击【验证】解析文本中的字段名对应的内容均以不同颜色进行框选展示,在页面右侧可查看解析结果,如下所示:
_24.png)
注意:在填写正则表达式时,遇到特殊字符 [,],(,),{,},?,.,s,S,d,D,w,W,\,*,|,必须在前面添加转义字符 \ 。
• 框选划词:自动生成正则表达式
示例:将 Agent 审计日志作为样例,从中提取 IP 字段,具体操作如下:
1) 手动框选取需要提取的字段内容,此处选择“192.168.84.177”,在字段提取窗口自定义字段名称“主机地址”;
2)点击【确定】自动生成正则表达式并同步验证,在页面右侧可查看解析后结果,如下所示:
说明:字段名称不允许为空,或以 @、_ 、数字开头;且不允许与系统已有字段重名。
3)鼠标悬停至解析文本框中已框选的字段,显示编辑和删除按钮,可对其进行编辑、删除操作,如下所示:
| 符号 | 符号说明 |
| \S | 表示匹配非空格字符 |
| \S+ | 表示匹配连续的非空格字符 |
| \s | 表示匹配空格 |
| [^,]* | 表示匹配非 ",”的字段 0 次或多次 |
| \d | 表示匹配数据 0~9 |
| ? | 表示 1 个对象匹配 |
| * | 表示 0 个以上对象匹配 |
| + | 表示 1 个以上对象匹配 |
• 手动填写正则表达式:
示例:将 AnyShare 访问日志作为日志样例,通过解析规则从中提取时间、用户、IP地址、登录详情等字段的信息。
手动填写正则表达式后,点击【验证】解析文本中的字段名对应的内容均以不同颜色进行框选展示,在页面右侧可查看解析结果,如下所示:
注意:在填写正则表达式时,遇到特殊字符 [,],(,),{,},?,.,s,S,d,D,w,W,\,*,|,必须在前面添加转义字符 \ 。• 框选划词:自动生成正则表达式
示例:将 Agent 审计日志作为样例,从中提取 IP 字段,具体操作如下:
1) 手动框选取需要提取的字段内容,此处选择“192.168.84.177”,在字段提取窗口自定义字段名称“主机地址”;
2)点击【确定】自动生成正则表达式并同步验证,在页面右侧可查看解析后结果,如下所示:
说明:字段名称不允许为空,或以 @、_ 、数字开头;且不允许与系统已有字段重名。3)鼠标悬停至解析文本框中已框选的字段,显示编辑和删除按钮,可对其进行编辑、删除操作,如下所示:
< 上一篇:
下一篇: >