我想解析一些应用程序日志,我做了很多与notepad++和网站www.regex101.com一起正常运行的正则表达式。
但是当我在QRadar中应用它们时,它们并不匹配。
例如
12/2/2017 9:53:58,4040007,blablablbla,blablabla --- Abonnement Mobile N°:0663016666 | balbalbal | 03/06/2006 11:11:22 --- Soldes,10.10.10.10
我执行此正则表达式(?<=---)\s+[A-Za-z+ \/\w+0-9._%+-]+(?=(\sN°|\s\sN°|\sID))以匹配Abonnement mobile它正常工作,但它与QRadar中的任何内容都不匹配。
答案 0 :(得分:1)
QRadar不接受所有正则表达式配置。当您尝试解析某些内容时,可以使用extract属性字段进行检查。这是一个在我的系统中正常运行的正则表达式。
\-\-\-\s(\w+\s\w+)\s
如果只有“Abonnement Mobile”字段包含字母或数字,则此正则表达式将起作用。如果你想捕获“Abonnement Mobile N°”你可以使用这个正则表达式,这将适用于该领域的任何内容。
\-\-\-\s([^\:]+)\: