一直在寻找我创建了一个正则表达式的审查,因为我想看看在那里可以作出改进寻找反馈,正则表达式配置
我有以下日志消息:
2017-02-09T14:12:07.381648+00:00 ATA-CENTER ATA[4844] CEF:0|Microsoft|ATA|1.7.5757.57477|AbnormalBehaviorSuspiciousActivity|Suspicion of identity theft based on abnormal behavior|5|start=2017-02-09T14:07:22.1490000Z app=Kerberos shost=xxx suser=Last Name, First Name msg=text here. cs1Label=url cs1=https://xxx-xxx.xxxx.xxx.xxx/suspiciousActivity/589c7796135ca912ec5b75b0
这里是我的正则表达式:
.*?\|ATA\|(?<version>.*?)\|(?:\w+)\|(?<alert>.*?)\|(?<severity>.*?)\|(?:.*?)\s\w+=(?<app>.*?)\s\w+=(?<src_host>.*?)\s\w+=(?<user>.*?)\s\w+=(?<msg>.*?).\s.*?
我想不顾一切达ATA,然后忽略在味精结束期后的一切(在cs1Label开始)。
希望得到任何反馈。
Thx
我建议将这样大的字符串分成较小的部分,然后应用正则表达式。这将使它更易于管理和清洁。 – EngineeredBrain