寻找反馈，正则表达式配置

Question

一直在寻找我创建了一个正则表达式的审查，因为我想看看在那里可以作出改进

我有以下日志消息：

2017-02-09T14:12:07.381648+00:00 ATA-CENTER ATA[4844] CEF:0|Microsoft|ATA|1.7.5757.57477|AbnormalBehaviorSuspiciousActivity|Suspicion of identity theft based on abnormal behavior|5|start=2017-02-09T14:07:22.1490000Z app=Kerberos shost=xxx suser=Last Name, First Name msg=text here. cs1Label=url cs1=https://xxx-xxx.xxxx.xxx.xxx/suspiciousActivity/589c7796135ca912ec5b75b0 

这里是我的正则表达式：

.*?\|ATA\|(?<version>.*?)\|(?:\w+)\|(?<alert>.*?)\|(?<severity>.*?)\|(?:.*?)\s\w+=(?<app>.*?)\s\w+=(?<src_host>.*?)\s\w+=(?<user>.*?)\s\w+=(?<msg>.*?).\s.*? 

我想不顾一切达ATA，然后忽略在味精结束期后的一切（在cs1Label开始）。

希望得到任何反馈。

Thx

Answer 1

在你的正则表达式中有一个小错误。消息后的点号.将匹配所有内容。如果你真的想匹配一个点，你需要逃避它。 (?:\w+)将匹配每个字符和每个数字。您也可以使用\d来匹配数字。而且，我不会标注捕获组。在我看来，这不会使正则表达式更具可读性。

否则对我来说似乎很好。这是一个带固定点的live demo。