Expresiones regulares comunes
Utilice expresiones regulares para hacer coincidir patrones de texto en el archivo de origen de registro. Puede explorar los mensajes con respecto a patrones de letras, números o una combinación de ambos. Por ejemplo, puede crear expresiones regulares que coincidan con direcciones IP, puertos y direcciones MAC de origen y destino, etc.
Los códigos siguientes muestran varias expresiones regulares comunes:
\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3} \d{1,5} (?:[0-9a-fA-F]{2}\:){5}[0-9a-fA-F]{2} (TCP|UDP|ICMP|GRE) \w{3}\s\d{2}\s\d{2}:\d{2}:\d{2} \s \t .*? El carácter de escape, o "\", se utiliza para indicar un carácter literal. Por ejemplo, el carácter "." significa "cualquier carácter único" y coincide con A, B, 1, X, etc. Para comparar los caracteres ".", una coincidencia literal, debe utilizar "\."
| Tipo | Expresión |
|---|---|
| Dirección IP | \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3} |
| Dirección MAC | (?:[0-9a-fA-F]{2}\:){5}[0-9a-fA-F]{2} |
| Número de puerto | \d{1,5} |
| Protocolo | (TCP|UDP|ICMP|GRE) |
| Hora de dispositivo | \w{3}\s\d{2}\s\d{2}:\d{2}:\d{2} |
Espacio en blanco |
\s |
| Ficha | \t |
| Cualquier coincidencia | .*? |
Sugerencia: Para asegurarse de que no coincide accidentalmente con otros caracteres, escape cualquier carácter que no sea dígito o que no sea alfa.