Regex rsyslog正则表达式不会变得贪婪_Regex_Templates_Rsyslog

Regex rsyslog正则表达式不会变得贪婪

regex templates

Regex rsyslog正则表达式不会变得贪婪,regex,templates,rsyslog,Regex,Templates,Rsyslog,我正在编写一个rsyslog模板来从事件中过滤src和dstip，但是regexpression只返回第一个匹配项示例事件： ulogd[20230]：id=2002严重性=info sys=SecureNet sub=packetfilter name=Packet accepted action=accept fwrule=89 initf=eth1 outitf=eth0 srcmac=aa:bb:cc:dd:ee:2c dstmac=00:11:22:ff:cc:aa srcip=10

我正在编写一个rsyslog模板来从事件中过滤src和dstip，但是regexpression只返回第一个匹配项

示例事件：

ulogd[20230]：id=2002严重性=info sys=SecureNet sub=packetfilter name=Packet accepted action=accept fwrule=89 initf=eth1 outitf=eth0 srcmac=aa:bb:cc:dd:ee:2c dstmac=00:11:22:ff:cc:aa srcip=10.10.1.250 dstip=192.168.0.1 proto=6长度=52 tos=0x00 prec=0x00 ttl=127 srcport=64405 dstport=1133 tcpflags=ACK

模板语法

正则表达式

我正在测试：

如果您只需要精确匹配2个ip，那么您可以在2个属性替换中重复regex模式，其中第二个属性指定要获取第二个匹配的ip地址

使用。。。为了表示模式[0-9]{1,3}\[0-9]{1,3}\[0-9]{1,3}\[0-9]{1,3}，为了使其更具可读性，您需要

%msg:R,ERE,0,FIELD,0:...--end%
%msg:R,ERE,0,FIELD,1:...--end%

或全部：

$template outfmt,"%msg:R,ERE,0,FIELD,0:[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}--end%  %msg:R,ERE,0,FIELD,1:[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}--end%\n"

给我们更多更好的真实样本数据。给我们纯净的正则表达式。它看起来不像正则表达式。我没有收到与您的示例数据和您的正则表达式相匹配的结果。您可以共享一个示例日志吗？Greeedness是另一回事。最后你不需要a+。好的，一切都很好，不能使用/g-我想我可以用regex+不regex+覆盖多个匹配，这意味着你的regex模式可以匹配多个匹配，并且可以在previos后面匹配更多时间。abc+将匹配abc，abcabc，但不是abcdefabc或abc def abc+太糟糕了，没有匹配，全球或类似的东西，你必须重复一遍才能得到你想要的-但结果很好，非常感谢。

%msg:R,ERE,0,FIELD,0:...--end%
%msg:R,ERE,0,FIELD,1:...--end%

$template outfmt,"%msg:R,ERE,0,FIELD,0:[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}--end%  %msg:R,ERE,0,FIELD,1:[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}--end%\n"