正则表达式中查找"不包含"

做日志分析工作的经常需要跟成千上万的日志条目打交道,为了在庞大的数据量中找到特定模式的数据,常常需要编写很多复杂的正则表达式。例如枚举出日志文件中不包含某个特定字符串的条目,找出不以某个特定字符串打头的条目,等等。

使用否定式前瞻

正则表达式中有前瞻(Lookahead)和后顾(Lookbehind)的概念,这两个术语非常形象的描述了正则引擎的匹配行为。需要注意一点, 正则表达式钟的前和后和我们一般理解的前后有点不同。一段文本,我们一般习惯把文本开头的方向称作“前面”,文本末尾方向称为“后面”。但是对于正则表达式引擎来说,因为它是从文本头部向尾部开始解析的,因此对于文本尾部方向,称为“前”,因为这个时候,正则引擎还没走到那块,而对文本头部方向,则称为“后”,因为正则引擎已经走过了那一块地方 。如下图所示:

正向前瞻逆向前瞻

所谓的前瞻就是在正则表达式匹配到某个字符的时候,往“尚未解析过的文本”预先看一下,看是不是符合/不符合匹配模式,而后顾,就是在正则引擎已经匹配过的文本看看是不是符合/不符合匹配模式。符合和不符合特定匹配模式我们又称为肯定式匹配和否定式匹配

现代高级正则表达式引擎一般都支持都支持前瞻,对于后顾支持并不是很广泛,因此我们这里采用否定式前瞻来实现我们的需求。

实现

测试数据:

2009-07-07 04:38:44 127.0.0.1 GET /robots.txt
2009-07-07 04:38:44 127.0.0.1 GET /posts/robotfile.txt
2009-07-08 04:38:44 127.0.0.1 GET /

例如上面这几条简单的日志条目,我们想实现两个目标:

1. 把8号的数据过滤掉

2. 把那些不包含robots.txt字符串的条目给找出来(只要Url中包含robots.txt的都给过滤掉)。

前瞻的语法是:

(?!匹配模式)

我们先来实现第一个目标——匹配不以特定字符串开头的条目

这里我们因为要排除一段连续的字符串,因此匹配模式非常简单,就是2009-07-08。实现如下:

^(?!2009-07-08).*?$

用Expresso我们可以看到结果确实过滤掉8号的数据。

接下来,我们来实现第二个目标——排除包含特定字符串的条目

按照我们上面写法,我照葫芦画瓢了一下:

^.*?(?!robots\.txt).*?$

这段正则用大白话描述就是:开头任意字符,然后后面不要跟着robots.txt连续字符串,然后再跟着任意个字符,字符串结尾。

运行测试,结果发现:

image

没有达到我们想要的效果。这是为什么呢?我们给上面的正则表达式加上两个捕获分组调试一下:

^(.*?)(?!robots\.txt)(.*?)$

测试结果:

image

我们看到,第一个分组啥都没有匹配到,而第二个分组却匹配了整个字符串。再回过头来好好分析一下刚才那个正则表达式。实际上,当正则引擎解析到A区 域的时候,就已经开始执行B区域的前瞻工作。这个时候发现当A区域为Null的时候匹配成功——.*本来就允许匹配空字符,前瞻条件又满足,A区域后面紧 跟着的是“2009”字符串,而并不是robots。因此整个匹配过程成功匹配到所有条目。

image

分析出原因之后我们对上述的正则进行修正,将.*?移入前瞻表达式,如下:

^(?!.*?robots).*$ 

测试结果:

image

Bingo! 


         今天为网站伪静态写一条规则,目的是过滤除了站点本身以外的域名地址。由于网站做了泛域名解析,所以输入IP地址,或者其它人把域名绑定到服务器的 IP,都可以访问网站,今天就发现了一个域名,估计是好久没有用到了,一直就是解析这个IP,于是输入域名就到了网站,解决的方法就是在伪静态规则中把“ 除了网站域名以外的其它域名均过滤掉”。 

        先写出“本站允许的所有域名”吧,用正则表达式,只要包含主要的域名就行了。前面可以是二级子域名,于是写成:

\w+\.k8008\.com\.cn

    后缀扩展一下,就成下面这样,允许有多个后缀,这样可以是.com或者.net,.com.cn之类的了

\w+\.k8008(\.\w+)+

     然后来转换成不含"k8008"的,这要用到正向预查了,"?="表示等于,“?!”表示不等于;要特别注意的是,预查后的位置,还是停留在预查之前,而不是从查完的字符开始找:

\w+\.(?!k8008)(\.\w+)+

上面这个在查完k8008后,位置是停留在“(?!”之前的“\.”,再接着找的是(?!k8008)后面的“\.”,其实并没有哪个域名会两个点号相连的,所以出错,得不到任何结果。于是在重读正则手册N+1次后,终于写了下面这句:

\w+(?!\.k8008)(\.\w+)+ 

非常简单,只需要把"\."移到预查里面就行了,最后加上边界条件,得到最终结果:

^\w+(?!\.k8008)(\.\w+)+$

 


 

我曾经的需求和上面的类似,网站也是需要支持泛解析的,同时把不是本站.xxx.com结尾的过滤掉。

正则表达式是:^(?!.*?\.xxx\.com).*$

我们网站支持下面格式的:abc.xxx.com,abc.xxx.com.cn,www.abc.xxx.com等形式

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值