挑战Python中的regex子句-Suricata/fast.log_Python_Regex_Suricata

挑战Python中的regex子句-Suricata/fast.log

python regex

挑战Python中的regex子句-Suricata/fast.log,python,regex,suricata,Python,Regex,Suricata,任何正则表达式向导都能提供帮助吗我正试图让正则表达式解析Suricata快速日志。到目前为止，我发现了一个类似的老帖子，但我想从日志中获取所有数据到目前为止，我可以获得时间、日期、源ip、源端口、目标ip和目标端口，但还希望获得警报标题、分类和优先级日志文件： 03/21/2021-20:24:02.524057 [**] [1:2006380:14] ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencryp

任何正则表达式向导都能提供帮助吗

我正试图让正则表达式解析Suricata快速日志。到目前为止，我发现了一个类似的老帖子，但我想从日志中获取所有数据

到目前为止，我可以获得时间、日期、源ip、源端口、目标ip和目标端口，但还希望获得警报标题、分类和优先级

日志文件：

03/21/2021-20:24:02.524057  [**] [1:2006380:14] ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 192.168.10.14:48820 -> 192.168.10.18:8086
03/21/2021-20:24:23.567546  [**] [1:2014939:5] ET POLICY DNS Query for TOR Hidden Domain .onion Accessible Via TOR [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.10.14:49405 -> 192.168.10.1:53

Python文件：

import re

log_file = open('fast.log','r')
for line in log_file:
    r_search = re.search('([0-9/]+)-([0-9:.]+)\s+.*?(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})\s+->\s+(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})', line)
    print(f'Date - {r_search.group(1)}')
    print(f'Time - {r_search.group(2)}')
    print(f'Scr IP - {r_search.group(3)}')
    print(f'Scr Port - {r_search.group(4)}')
    print(f'Dess IP - {r_search.group(5)}')
    print(f'Dess Port - {r_search.group(6)}')
    print('***********')

log_file.close()

电流输出：

Date - 03/21/2021
Time - 20:24:02.524057
Scr IP - 192.168.10.14
Scr Port - 48820
Dess IP - 192.168.10.18
Dess Port - 8086
***********

想要的输出：

Date - 03/21/2021
Time - 20:24:02.524057
Alert Rule - ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted
Classification - Potential Corporate Privacy Violation
Priority - 1
Scr IP - 192.168.10.14
Scr Port - 48820
Dess IP - 192.168.10.18
Dess Port - 8086
***********

谢谢

下面的正则表达式模式似乎在这里起作用：

logs=['03/21/2021-20:24:02.524057[**][1:2006380:14]检测到未加密的ET策略传出基本Auth Base64 HTTP密码[**][分类：潜在的公司隐私侵犯][优先级：1]{TCP}192.168.10.14:48820->192.168.10.18:8086'，03/21/2021-20:24:23.567546[**][1:2014939:5]TOR隐藏域的ET策略DNS查询。可通过TOR[**][分类：潜在的公司隐私侵犯][优先级：1]{UDP}192.168.10.14:49405->192.168.10.1:53']
对于登录日志：
matches=re.findall（r'^（.*？-（\S+）\S+\[.*？\]\S+\[.\]\S+\[.*？\]\S+\[（.*？）\S+\[（.*？）-（\d+（？：\.\d+）：（\d+）\S+->\S+（\d+（（（？：\.\.-.\d+）：）：：（\d+）：。*）：（\d+）：。。*，log）
打印（匹配）

这张照片是：

[('03/21/2021',
  '20:24:02.524057',
  'ET POLICY Outgoing Basic Auth Base64 HTTP Password detected unencrypted',
  'Classification: Potential Corporate Privacy Violation',
  'Priority: 1',
  '192.168.10.14',
  '48820',
  '192.168.10.18',
  '8086')]
[('03/21/2021',
  '20:24:23.567546',
  'ET POLICY DNS Query for TOR Hidden Domain .onion Accessible Via TOR',
  'Classification: Potential Corporate Privacy Violation',
  'Priority: 1',
  '192.168.10.14',
  '49405',
  '192.168.10.1',
  '53')]