过去两天我一直在与Stroom合作,并一直试图以此模式解析snort日志文件
<stroom-event>
<date>2017/10/17</date>
<time>11:30:02.43</time>
<srcip>172.16.0.1</srcip>
<srcport>334</srcport>
<dstip>172.16.0.100</dstip>
<dstport>25</dstport>
</stroom-event>
我制作了一个DSparser并将其编码在其中
<?xml version="1.0" encoding="UTF-8"?>
<dataSplitter xmlns="data-splitter:3"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="data-splitter:3 file://data-splitter-v3.0.xsd"
version="3.0">
<split delimiter="\n">
<group value="$1">
<regex pattern="r'([0-9/]+)-([0-9:.]+)\s+.*?(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})\s+->\s+(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}):(\d{1,5})'">
<data name="date" value="$1"/>
<data name="time" value="$2"/>
<data name="srcip" value="$3"/>
<data name="srcport" value="$4"/>
<data name="dstip" value="$5"/>
<data name="dstport" value="$6"/>
</regex>
</group>
</split>
</dataSplitter>
当我启动Feed并测试它是否解析任何东西时,我什么都没得到。任何帮助将不胜感激!