我正试图想出一个正则表达式来从下面的日志中提取某些信息。我已经扰乱正则表达式组一段时间了,没有任何进展。我想要得到日期/时间戳、usr字段、dstname字段和arg字段。我怎样才能做到这一点?
May 1 08:21:02 192.168.1.1 id=firewall sn=fakeserial time="2020-05-01 12:21:02 UTC" fw=1.2.3.4 pri=3 c=4 m=14 msg="Web site access denied" app=2515 sess="Auto" n=398533 usr="sampledomainusername" src=192.168.1.150:50334:X0 dst=72.21.81.240:80:X1 srcMac=b0:00:b4:18:4a:b5 dstMac=c0:ea:e4:9d:a0:8c proto=tcp/http dstname=ctldl.windowsupdate.com arg=/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab code=99 Category="Administrative Custom List settings" fw_action="drop"
您可以将其建立在类似的基础上
(w{3} d* [d:]*).*usr="([a-z\]*)".*dstname=([w.]*).*arg=([/][^ ]*)
https://regex101.com/r/VUIBAm/1