splunk学习笔记——正则表达式

最新推荐文章于 2024-05-14 10:59:01 发布
最新推荐文章于 2024-05-14 10:59:01 发布
阅读量1.3w 收藏 13
点赞数 1
分类专栏: 安全 splunk 文章标签: splunk 正则表达式

splunk正则表达式

  • 正则表达式匹配文本字符模式,使用正则表达式的搜索命令包括rex、regex,以及评估函数(例:match、replace)。
  • splunk正则表达式均为PRCE(Perl兼容正则表达式),且使用PRCE C库。

1 语法和表达

关于splunk正则表达式的语法介绍可以参考官方文档《Knowledge Manager Manual》

字符类型

组、量词、替换

例子:

  • 事件文本:131.253.24.135 fail admin_user
  • 目标:提取出ip、result、user
  • 表达式:
    a. (?<ip>\d+.\d+.\d+.\d+) (?<result>\w+) (<user>.*)
    b. (?<ip>\S+) (?<result>\S+) (?<user>\S+)

2 搜索命令

关于搜索命令的详细介绍可以参考官方文档《Search Reference》

2.1 rex

描述
使用该命令可以通过以正则表达式命名的群组提取字段,还可以通过sed表达式替换或取代字段中的字符。
语法
rex [field=<field>] (<regex-expression> [max_match=<int>] [offset_field=<string>]) | (mode=sed <sed-expression>)


例1

  • 原始事件:From: Susan To: Bob
  • 目标:from=Susan, to=Bob
  • 命令:|rex field=_raw “From: (?<from>.*) To: (?<to>.*)”

例2

  • 原始事件:从search_id字段中提取user、app,search_id字段的值是search_id=bob;search
  • 目标:user=bob, app=search
  • 命令:|rex field=search_id “(?<user>\w+);(?<app>\w+)”

例3

  • 目标:将正则表达式匹配的数字替换成匿名字符串
  • 命令:|rex field=cnumber mod=sed “s/(\d{4}-){3}/xxxx-xxxx-xxxx-/g”

2.2 regex

描述
该命令可以删除与指定正则表达式不匹配的结果。
语法
regex (<field>=<regex-expression>|<field>!=<regex-expression>|<regex-expression>)

  • 目标:仅保留_raw字段包含A类IP地址(10.0.0.0/8)的搜索结果
  • 命令:|regex _raw=”(?=!\d)10.\d{1,3}.\d{1,3}.\d{1,3}(?!\d)”

2.3 erex

描述
该命令可以自动提取与指定示例值相似的字段值。
语法
erex [<field>] examples=<string> [<counterexamples>=<string>] [fromfield=<field>]

  • 目标:提取7/01和07/02这样的值,但不是99/2这样的模式,并把提取值放在monthday属性中
  • 命令:|erex monthday examples=”7/01, 07/02” counterexamples=”99/2”

3 实际问题

以下是我碰到的一个实际问题
数据源:邮件日志
问题:由于是域账户,用户名前带有域名,如poc\admin;
           用户名还可能是完整的邮箱名称,如:admin@poc.com
目标:提取出用户名,不包含前缀以及后缀
命令:注意需要四个斜杠来匹配一个斜杠
这里写图片描述
结果对比
不加正则:

加正则:

附:
正则中为什么需要4个/来匹配1个/

林动破千穹
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Splunk中使用正则匹配复杂数据格式提取字段
QYHuiiQ
09-15 1082
splunk中有的时候原始数据是没有字段的,但是每条数据中的某些值是有规律的,可以统一提取出来的,对于这种数据的提取,可以使用正则的方式: | makeresults | eval _raw="aaa-bbb,Hello World!,I am a student(my hometown/Fujian Province),1234" | rex field=_raw "(?<field1>[\w+-]*),(?<field2>[!\w+\s+]*),(?<field3&g
正则表达式 解决splunk hostname 问题
shenghuiping2001的专栏
04-04 612
splunk : host_regex 是很强大的,有些正则在splunk single instance 里可以打到目的,可是在cluster 环境中,配置: mills server (forwarder ) /opt/splunk/etc/apps/app_name 下面配置inputs.conf 就有问题。
splunk 正则表达式的使用
09-29
splunk 正则表达式的使用 如何搜索splunk具体内容
splunk语法
09-08
splunk语法是学习splunk的快速入门指导书 谁下载谁知道;更多详情请点击:linuxdiy.taobao.com
安全运营 splunk入门_splunk table
最新发布
2401_84969611的博客
05-14 280
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
splunk 提取字段_【splunk】用正则表达式提取字段
weixin_39892615的博客
12-22 473
Linux下SVN安装配置第一章 安装 1. 采用源文件编译安装.源文件共两个,为:subversion-1.6.1.tar.gz (subversion 源文件)subversion-deps-1.6.1.tar.gz ...spring引入实体类映射文件由于spring对hibernate配置文件hibernate.cfg.xml的集成相当好 LocalSessionFactoryBean...
splunk 之预备学习 正则表达式基础
段智华的博客
01-17 4562
splunk 之预备学习 正则表达式基础 摘自百度百科 ^ 匹配输入字符串的开始位置。如果设置了RegExp对象的Multiline属性,^也匹配“\n”或“\r”之后的位置。 $ 匹配输入字符串的结束位置。如果设置了RegExp对象的Multiline属性,$也匹配“\n”或“\r”之前的位置。
splunk】用正则表达式提取字段
weixin_34402090的博客
04-20 1821
设input输入数据为 http://192.168.23.121/xxx  想提取出里面的ip,可以用rex source="xxx.csv" |rex field=input "http://(?&lt;ip&gt;\d+\.\d+\.\d+\.\d+)"|fields ip|stats count by ip   语法 rex field=待提取数据的字段 "正则表达式" 注意,正则表达...
Splunk正则匹配提取字段
QYHuiiQ
12-29 1385
Splunk中提取字段可以在extract field中提取,但是有时extract太多,就会提示让我们去写正则来提取,也可以直接在spl中匹配字段。 以下图中的event log为例,提取FIELD_A,FIELD_B,FIELD_C三个字段: index="xxx" source="yyy" ... | rex max_match=0 ".*\s*FIELD_A=\"(?<FIELD_A_NAME>[^\,]*)\".*\s*" | rex max_match=0 ".*\s*FI
正则取出所有符合条件的值
遥望......
08-19 3606
原始字符串值:{"dataClass":"x","dataStringRepresentation":"y","id":"z"}{"dataClass":"xx","dataStringRepresentation":"yy","id":"zz"}{"dataClass":"xxx","dataStringRepresentation":"yyy","id":"zzz"} 需求是取出所有的dat...
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
splunk - splunk搜索参考(对比SQL语法)
05-13
splunk搜索语法参考,截取部分与SQL对比的语法
电信设备-一种利用正则表达式自定义提取日志关键信息的方法.zip
09-19
7. **日志分析工具**:除了手动编写正则表达式外,还可以使用日志分析工具,如Logstash、Splunk或Grep,它们提供了图形界面和强大的正则表达式支持,帮助快速过滤和解析日志。 8. **优化正则表达式**:在实际应用中...
Splunk学习与实践
01-27
美国Splunk公司,成立于2004年,2012年纳斯达克上市,第一家大数据上市公司,荣获众多奖项和殊荣。总部位于美国旧金山,伦敦为国际总部,香港设有亚太支持中心,上海设有海外第一个研发中心。产品:SplunkEnterprise...
splunkml:Splunk机器学习工具
05-21
Splunk机器学习工具-SplunkML SplunkML是Splunk查询语言的一组搜索命令,允许用户对其Splunk数据进行训练和使用机器学习方法。 包括二进制/多类分类器以及聚类和离群值检测命令。 这些命令利用了和机器学习和自然...
Splunk系列:Splunk字段提取篇(三)
03-03 1591
一、简单概述Splunk 是一款功能强大的搜索和分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段...
正则匹配截取固定格式字符串并替换
gu1079358530的博客
04-25 6932
String str = "[b[CA3,ALL,WY01]]/$g,[a[BB1,WY01]]+1$ * $g,[a[BB1,WY01]]+1$"; String match = "(\\$g,(.*?)\\$)"; Matcher matcher = Pattern.compile(match).matcher(str); while(matcher.find()){ String s = matcher.group(); str = str...
splunk 之 搜索(Searching)
liangkaiping0525的博客
08-16 7126
Let's Searching Results Example Results Example 注意:在结果之上,有一个菜单项允许您更改页面上显示的事件的数量。默认情况下,这个选项是每页20个,但是您可以单击这个选项来增加或减少这个数字。 task3:使用时间线查找结果中的趋势。Use the timeline to look for trends in...
splunk配置文件
08-23
Splunk 是一款用于处理大规模实时数据的日志管理和分析平台。在 Splunk 中,有多个配置文件用于管理和定制系统的不同方面。以下是一些常见的 Splunk 配置文件: 1. `inputs.conf`:该配置文件用于定义数据源,即 Splunk 从哪里获取数据。您可以在此配置文件中指定要监视的文件、目录、网络端口等。 2. `props.conf`:该配置文件用于定义数据的解析方式和字段提取。您可以在此配置文件中指定使用哪些正则表达式、时间戳格式等来解析数据,并提取出关键字段。 3. `transforms.conf`:该配置文件用于定义转换规则,即对数据进行某种操作或修改。您可以在此配置文件中使用正则表达式来重命名字段、创建新字段等。 4. `indexes.conf`:该配置文件用于定义索引,即存储数据的实际位置和属性。您可以在此配置文件中指定数据存储的路径、数据的保留策略、权限设置等。 5. `limits.conf`:该配置文件用于定义系统的资源限制和配额。您可以在此配置文件中设置并发搜索数、内存限制、CPU 使用率等。 这些只是 Splunk 配置文件的一小部分,还有其他许多配置文件可用于管理和定制 Splunk 系统。每个配置文件都有其特定的用途和格式,您可以根据需要进行相应的配置和修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值