一般的な正規表現
ログ・ソース・ファイルでテキストのパターンを比較するには、正規表現を使用します。メッセージで英字、数字、またはそれら両方の組み合わせのパターンをスキャンできます。例えば、送信元や宛先の IP アドレス、ポート、MAC アドレスなどに一致する正規表現を作成できます。
一般的な正規表現のいくつかを以下のコードに示します。
¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3} ¥d{1,5} (?:[0-9a-fA-F]{2}¥:){5}[0-9a-fA-F]{2} (TCP|UDP|ICMP|GRE) ¥w{3}¥s¥d{2}¥s¥d{2}:¥d{2}:¥d{2} ¥s ¥t .*? エスケープ文字 ¥ は、リテラル文字を示すために使用します。例えば、. 文字は「任意の 1 文字」を意味し、A、B、1、X などに一致します。. という文字に一致させる (リテラル比較を行う) には、¥. を使用する必要があります。
| タイプ | 正規表現 |
|---|---|
| IP アドレス | ¥d{1,3}¥.¥d{1,3}¥.¥d{1,3}¥.¥d{1,3} |
| MAC アドレス | (?:[0-9a-fA-F]{2}¥:){5}[0-9a-fA-F]{2} |
| ポート番号 | ¥d{1,5} |
| Protocol | (TCP|UDP|ICMP|GRE) |
| デバイス時刻 | ¥w{3}¥s¥d{2}¥s¥d{2}:¥d{2}:¥d{2} |
|
ホワイト・スペース |
¥s |
| タブ | ¥t |
| すべてのストリングに一致 | .*? |
ヒント: 誤って別の文字に一致しないように、英数字以外の文字は必ずエスケープしてください。