个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我有一个关于 Java 正则表达式和捕获组的问题。我的目标是解析日志文件并将相关字段提取到 QRadar 中。我并不完全在编写Java代码,但是因为QRadar使用Java正则表达式来解析日志文件,并且因为我的问题是正则表达式问题,所以我将其发布在这里希望得到一些针对我的问题的指针/解决方案。
这是我的问题 -
我正在尝试解析 CEF(通用事件格式)格式的日志文件。以下是日志文件中的几行 -
[blah, blah...] cs1=DataValue1 cs2=DataValue2
[blah, blah...] cs2=DataValue3 cs1=DataValue4
我的目标是从上述行中提取字段 cs1 和 cs2 的数据值。因此,我有兴趣捕获上述行中的值 - DataValue1、DataValue2、DataValue3 和 DataValue4
我想出了以下正则表达式来完成相同的任务 -
cs1 字段的正则表达式 - \scs1\=(.*?)\s\w+\=
cs2 字段的正则表达式 - \scs2\=(.*?)\s\w+\=
使用上述正则表达式和捕获组,我能够捕获数据值。但仅限于某些情况。因此,如果您查看上面的日志条目,您会发现日志条目中的字段 cs1 和 cs2 的顺序并不固定。因此,有时 cs1 字段出现在 cs2 之前(在日志条目的中间),而有时字段 cs1 出现在末尾(是日志条目的最后一个字段。 cs2 字段也存在类似的行为。仅当该字段不是最后一个字段时,使用我当前的正则表达式才有效。
例如对于第一个日志条目行 [blah, blah...] cs1=DataValue1 cs2=DataValue2,我的正则表达式正确解析/提取 cs1 字段的值,但它们由于 cs2 字段位于行末尾,因此 cs2 字段失败。
同样,对于第二个日志条目行[blah, blah...] cs2=DataValue3 cs1=DataValue4,我的正则表达式正确解析/提取cs2的值> 字段,但他们无法提取 cs1 字段的值,因为 cs1 字段位于行尾。
我的问题是 - 我的正则表达式应该是什么,以便它可以正确解析/提取数据字段值,无论该字段出现在日志文件条目的中间还是末尾?
感谢任何帮助
问候,
P.S.:如果有人感兴趣,我也在 QRadar 论坛上发布了这个问题( https://www.ibm.com/developerworks/community/forums/html/topic?id=f48bc2dc-2ccb-42df-b543-dc0522491fad ),但还没有任何回复......
最佳答案
如果您不知道其排列顺序,只需使用前瞻来捕获 cs1 和 cs2 字段的值。
^(?=.*?\scs1=(\S+))(?=.*\scs2=(\S+))
Java 正则表达式是,
^(?=.*?\\scs1=(\\S+))(?=.*\\scs2=(\\S+))
组索引 1 包含 cs1 的值,索引 2 包含 cs2 的值
关于java - 正则表达式和捕获组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26374973/
24
4
0
多个 ChildException catch block 和一个 Exception catch block 之间哪个更好? 更好,我的意思是以良好的实践方式。 举例说明: public stati
我正在尝试将脱机计算机记录在文本文件中,以便以后可以再次运行它们。似乎没有被记录或捕获。 function Get-ComputerNameChange { [CmdletBinding()]
我正在将 Scala 'try/catch' 测试代码转换为使用 'intercept' 有没有我不应该使用“拦截”的场景?使用 'intercept' 而不是 'try/catch' 的唯一好处是简
我对erlang很陌生,我正在尝试使用基本的try/catch语句来工作。我正在使用Webmachine处理一些请求,我真正想做的就是解析一些JSON数据并将其返回。如果JSON数据无效,我只想返回一
我不知道如何捕获删除按键。我发现在 ASCII 代码表中,它位于 127 位,但是 if (Key = #127) then 却无济于事。 然后我检查了 VK_DELETE 的值,它是 47。尝试使用
我很少在失败时对数据库查询使用唯一的错误消息 我经常使用简短的标准消息,例如“数据库错误/失败。请与网站管理员联系”或类似的消息。或自动发送给我 我正在寻找一种在PDO中全局设置一次try {}和ca
我有一个变量CompletableFuture completableFuture 。我希望能够使用任何类型的对象来完成它。例如:completableFuture.complete(new Stri
我认为这是基本的东西,但我不知道该怎么做。为什么我得到 IOException never throw in body of相应的 try 语句 public static void main(Str
我在此代码中遇到 JSON 异常: JSONObject jObject = new JSONObject(JSONString); pontosUsuario.setIdUsuari
我正在尝试打印出用单引号括起来的文本。 /bin/bash -lc '/home/CASPER_REPORTS/scripts/CASPER_gen_report.sh CASPER_1' /bin/
我这里遇到了一点问题。我想弄清楚如何捕获 IllegalArgumentException。对于我的程序,如果用户输入负整数,程序应该捕获 IllegalArgumentException 并询问用户
我无法理解 EJBTransactionRolledbackException。 我有实体: @Entity public class MyEntity { @Id @Generate
对于我给自己提出的以下挑战,如果社区的经验给我任何建议,我将不胜感激 - 即,这里有任何关于最佳方法/方向的指示吗? 要求 允许收集/实时监控从用户 Windows PC 到一组特定 IP 地址(或
我想在我的 ABAP 代码中捕获并处理 SAPSQL_DATA_LOSS。 我试过这个: try. SELECT * FROM (rtab_name) AS rtab
我知道捕获错误不是一个好的做法,但在这种情况下,这样做很重要。我正在尝试运行一个包含游戏一部分的 jar,但它给了我一个 unsatisfiedlink 错误,但这是有趣的部分:我正在使用这段代码:
我有一个表单页面,当我保存它时,它会覆盖数据库。表单页面中有一个文本框,允许用户输入 4000 个字符,但如果用户输入的字符超过此值,则会出现以下错误: ERROR 15:54:05 Abstrac
我想知道在python中绑定(bind)键的最简单方法 例如,默认的 python 控制台窗口出现并等待,然后在 psuedo -> if key "Y" is pressed: print (
下面是别人写的类。 我面临的问题是,当它进入parse method时与 null as the rawString ,它正在扔NumberFormatException 。 所以我想做的是,我应该捕
我有一个简单的脚本,可以捕获所有鼠标单击,除非您单击实际有效的内容。链接、Flash 视频等。我如何调整它,以便无论用户点击什么,在视频加载、新页面加载等之前,它都会发送我构建的简单 GET 请求?
我有一个带有一些选择列表的表单,当选择某些值时,这些列表将显示/隐藏更多输入字段。 问题是大多数用户都是数据输入人员,因此他们在输入数据时大量使用键盘,并且选择列表的 change 事件仅在焦点离开输
我是一名优秀的程序员,十分优秀!