Regex DNS应答的正则表达式解析
我想分析以下几行Regex DNS应答的正则表达式解析,regex,perl,sed,Regex,Perl,Sed,我想分析以下几行 8.8.19.12.53>125.15.15.9.40583:[udp sum ok]62639问:A?微软网站。6/5/9 mp.microsoft.com。CNAME.mp.microsoft.com.c.footprint.net.,mp.microsoft.com.c.footprint.net。A 8.250.143.254,mp.microsoft.com.c.footprint.net。A 8.250.157.254 ns:c.footprint.net。NS d
8.8.19.12.53>125.15.15.9.40583:[udp sum ok]62639问:A?微软网站。6/5/9 mp.microsoft.com。CNAME.mp.microsoft.com.c.footprint.net.,mp.microsoft.com.c.footprint.net。A 8.250.143.254,mp.microsoft.com.c.footprint.net。A 8.250.157.254 ns:c.footprint.net。NS d.NS.c.footprint.net。ar:d.ns.c.footprint.net。A 4.26.235.155(439)
8.8.19.12.53>125.15.15.9.42091:[udp总和正常]46555问:A?www.toto.net。1/0/0 www.toto.net。A 120.33.1.11(47)
125.15.15.9 mp.microsoft.com A 8.250.143.254 A 8.250.157.254
125.15.15.9 www.toto.net A 120.33.1.11
sed-Eun的/[^>]+>([0-9.]+)\[0-9]+:.+q:A\?([a-z0-9.-]+)\。([^::]+)./\1:\2:\3/pg
- A记录的编号(“A xx.xx.xx.xx”)不为空
- 或者该行不能包含
NXDomain\*?-
perl-nle'
我的$field\u value\u re=qr/(?![^\s:++:(?!\s))\s++(?:(?!\s++[^\s:++:(?!\s))\s++\s++*+/x;
我的($id,$rest)=/^\s+([^:::++):\s++$field\u value\u re(.*)/sx
或下一步;
my($ip)=$id=~/^\S++\S++\S++++\S++([^\S\.]++\.[^\S\.]++\.[^\S\.]++\.[^\S\.]++)\.[^\S\.]+\z/x
或下一步;
我的%fields=$rest=~/\G\s++([^\s:++):(?!\s)\s++($field\u value\u re)/gsx;
我的($query,$answers)=$fields{q}=~/^A\\s++(\s++)\s++\s++\s++++(.*)/sx
或下一步;
$query=~s/\.\z/;
my@answers=拆分(/\s*+,\s*+/,$answers);
我的($afield)=加入“”,映射{/^\S++\S++A\S++(\S++)/}@answers;
如果(长度($afield)!=0)
{
打印$ip、$query、$AFELD;
}
'dns.sample
$url\u reA?A@url使用严格;
使用“全部”警告;
使用5.010;
我的$url\u re=qr/(?:\d+\){3}\d+/;
而(){
我的@url=(/>\s+($url\u re)/,/A\?\s+([-\w.]+\w)/,/(A\s+$url\u re)/g);
说“@url”;
}
__资料__
8.8.19.12.53>125.15.15.9.40583:[udp总和正常]62639问:A?微软网站。6/5/9 mp.microsoft.com。CNAME.mp.microsoft.com.c.footprint.net.,mp.microsoft.com.c.footprint.net。A 8.250.143.254,mp.microsoft.com.c.footprint.net。A 8.250.157.254 ns:c.footprint.net。NS d.NS.c.footprint.net。ar:d.ns.c.footprint.net。A 4.26.235.155(439)
8.8.19.12.53>125.15.15.9.42091:[udp总和正常]46555问:A?www.toto.net。1/0/0 www.toto.net。A 120.33.1.11(47)
125.15.15.9 mp.microsoft.com A 8.250.143.254 A 8.250.157.254 A 4.26.235.155
125.15.15.9 www.toto.net A 120.33.1.11
{"id" with spaces}: {stuff} [ {key}: {stuff} ]*
A? {word} {word} {ns_return} [, {ns_return} ]*
qq{"id" with spaces}: {stuff} [ {key}: {stuff} ]*
A? {word} {word} {ns_return} [, {ns_return} ]*
perl -nle'
my $field_value_re = qr/(?![^\s:]++:(?!\S)) \S++ (?: (?! \s++ [^\s:]++:(?!\S) ) \s++ \S++ )*+/x;
my ($id, $id_val, $rest) = /^ ( [^:]++ ) : \s++ ( $field_value_re ) ( .* ) /sx
or next;
next if $id_val =~ /\bNXDomain\b/;
my ($ip) = $id =~ /^ \S++ \s++ \S++ \s++ ( [^\s\.]++\.[^\s\.]++\.[^\s\.]++\.[^\s\.]++ )\.[^\s\.]++ \z /x
or next;
my %fields = $rest =~ /\G \s++ ( [^\s:]++ ) :(?!\S) \s++ ( $field_value_re ) /gsx;
my ($query, $answers) = $fields{q} =~ /^ A\? \s++ ( \S++ ) \s++ \S++ \s++ ( .* ) /sx
or next;
$query =~ s/\.\z//;
my @answers =
map { /^\S++\s++A\s++(\S++)/ }
split(/\s*+,\s*+/, $answers);
next if !@answers;
print join " ", $ip, $query, map { "A $_" } @answers;
' log
125.15.15.9 mp.microsoft.com A 8.250.143.254 A 8.250.157.254
125.15.15.9 www.toto.net A 120.33.1.11
通过使用
mapq:perl -lne 'print join qq/\t/, m/> ([\d\.]+)\./, map {/A\? ([^\s]+)\./, /(A [\d\.]+)/g} / q:([^:]+)/' log.txt
我编辑了你的问题,试图理解它。输入的数据真的只有两行吗?我的投票结果是countermeasures@Borodin. 谢谢你的编辑。从流中提取所提供的传入数据。这些被选为输入的代表性示例。@ikegami好的,我将第二个和第三个正则表达式限制在
q:NXDomain\*?-”匹配的行?q:grep-vawk