0

我想解析一些应用程序日志,我做了很多正常工作的正则表达式notepad++和网站www.regex101.com。但是当我应用它们时,QRadar它们什么都不匹配。

例如

12/2/2017 9:53:58,4040007,blablablbla,blablabla --- Abonnement 手机号码 : 0663016666 | 巴尔巴尔巴尔 | 2006 年 3 月 6 日 11:11:22 --- 出售,10.10.10.10

我做了这个正则表达式(?<=---)\s+[A-Za-z+ \/\w+0-9._%+-]+(?=(\sN°|\s\sN°|\sID))来匹配Abonnement mobile它正常工作,但它不匹配QRadar.

4

1 回答 1

1

QRadar 不接受所有正则表达式配置。当您尝试解析某些内容时,您可以使用提取属性字段进行检查。这是一个在我的系统中运行良好的正则表达式。

 \-\-\-\s(\w+\s\w+)\s

如果仅“Abonnement Mobile”字段包含字母或数字,则此正则表达式将起作用。如果你想捕捉“Abonnement Mobile N°”,你可以使用这个正则表达式,这将适用于该领域的任何内容。

 \-\-\-\s([^\:]+)\:
于 2017-04-21T06:21:42.617 回答