日志是这样的:
Apr 5 10:27:17 event type=\"detector\" date=\"1554431239\" sensor=\"\" device=\"10.163.5.161\" interface=\"eth5\"
规则是:
^%{WORD:month}.*?%{NUMBER:num}.*?%{TIME:now_time}.*?event type=.*?%{WORD:event_type}.*?date.*?%{NUMBER:date}.*?sensor=.*?%{SPACE:sensor}.*?device.*?%{IP:device}.*?interface.*?%{WORD:interface}.*?
(!!!还有求教各位大佬为啥这个规则不识别引号,转义了也不识别,所以只好拿 .*? 代替!!!)
还有一个问题就是例如:
sensor=\"\" 这种格式,两个引号中间的值有时候是有的有时候是没有的我拿%{SPACE:sensor}可以拿到里面的空或非空的值么?
Apr 5 10:27:17 event type=\"detector\" date=\"1554431239\" sensor=\"\" device=\"10.163.5.161\" interface=\"eth5\"
规则是:
^%{WORD:month}.*?%{NUMBER:num}.*?%{TIME:now_time}.*?event type=.*?%{WORD:event_type}.*?date.*?%{NUMBER:date}.*?sensor=.*?%{SPACE:sensor}.*?device.*?%{IP:device}.*?interface.*?%{WORD:interface}.*?
(!!!还有求教各位大佬为啥这个规则不识别引号,转义了也不识别,所以只好拿 .*? 代替!!!)
还有一个问题就是例如:
sensor=\"\" 这种格式,两个引号中间的值有时候是有的有时候是没有的我拿%{SPACE:sensor}可以拿到里面的空或非空的值么?
1 个回复
wzfxiaobai - 90后it民工
赞同来自: