QRadar, Parsing Protokoll

Ich möchte einige Anwendungsprotokoll analysieren, ich habe eine Menge Regex, die ordnungsgemäß funktioniert mit notepade ++ und der Website www.regex101.com. Aber wenn ich sie in QRadar anwende, stimmen sie nicht überein.QRadar, Parsing Protokoll

Zum Beispiel: 12/2/2017 9: 53: 58,4040007, blablablblla, blablabla --- Abonnement Mobilnr: 0663016666 | balbalbal | 03/06/2006 11:11:22 --- Lötes, 10.10.10.10

Ich habe diese Regex: '(? < = ---) \ s + [A-Za-z +/\ w + 0- 9 ._% + -] + (? = (\ SN ° | \ s \ sN ° | \ sID)) 'passend zu' Abonnement mobil 'funktioniert es richtig, aber es passt nichts in QRadar ...

Quelle

2017-04-18 Bahaeddine Hilali

QRadar akzeptiert nicht alle Regex-Konfigurationen. Wenn Sie versuchen, etwas zu analysieren, können Sie das Feld für die Extraktionseigenschaft verwenden, um dies zu überprüfen. Hier ist eine Regex, die in meinem System funktioniert.

\-\-\-\s(\w+\s\w+)\s

Dieser Regex funktioniert, wenn nur das Feld "Abonnement Mobile" Buchstaben oder Ziffern enthält. Wenn Sie "Abonnement Mobile N °" abfangen möchten, können Sie diese Regex verwenden und das wird funktionieren, was auch immer in diesem Bereich kommt.

\-\-\-\s([^\:]+)\:

Quelle

2017-04-21 06:21:42

Dank für u're wiederholen, werde ich diese Regex Montag überprüfen, weil ich jetzt keinen Zugriff auf mein System haben, und ich werde Ihnen sagen, wenn es Arbeit ist –

hallo, diese Arbeit regex aber das gleiche Problem mit meiner suche ich 'abonnement mobil' mit '---' ich will nur abonnement mobil ohne irgend eine andere sache –

ich finde die lösung '--- \ s + [A (-Za-z +/\ w + 0-9 ._% + -] + (? = (\ sN ° | \ s \ sN ° | \ sID))) ' und in der Sammelgruppe müssen wir $ 1 tun und es passt nur das Abo-Handy ohne --- –

QRadar, Parsing Protokoll

Antwort

Verwandte Themen