这篇文章上次修改于 1383 天前，可能其部分内容已经发生变化，如有疑问可询问作者。

正则表达式匹配IP地址：</span>

((25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))\.){3}(25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))

splunk于Suricata配合是取字段正则

syslog : EXTRACT-app_proto                app_proto":\s+"(?<app_proto>[^"]+)


syslog : EXTRACT-bytes_toclient           bytes_toclient":\s+(?<bytes_toclient>\d+)


syslog : EXTRACT-bytes_toserver           bytes_toserver":\s+(?<bytes_toserver>\d+)


syslog : EXTRACT-client_ip               ^(?:[^ \n]* ){8}(?P<client_ip>[^:]+)


syslog : EXTRACT-client_port            ^(?:[^:\n]*:){6}(?P<client_port>\d+)


syslog : EXTRACT-dest_ip                 dest_ip":\s+"(?<dest_ip>[^"]+)"


syslog : EXTRACT-dest_port              dest_port":\s+(?<dest_port>\d+)


syslog : EXTRACT-eve_class              category":\s+"(?<eve_class>[^"]+)"


syslog : EXTRACT-eve_id                 signature_id":\s(?<eve_id>\d+)


syslog : EXTRACT-eve_level              severity":\s+(?<eve_level>\d+)


syslog : EXTRACT-eve_name               signature":\s+"(?<eve_name>[^"]+)"


syslog : EXTRACT-eve_type               event_type": "(?<eve_type>[^"]+)"


syslog : EXTRACT-level                  \|(?<level>\S+)$


syslog : EXTRACT-proto                  proto":\s+"(?<proto>[^"]+)


syslog : EXTRACT-server_ip             ^[^\|\n]*\|(?P<server_ip>[^:]+)


syslog : EXTRACT-server_port           ^(?:[^:\n]*:){7}(?P<server_port>\d+)


syslog : EXTRACT-src_ip                src_ip":\s+"(?<src_ip>[^"]+)"


syslog : EXTRACT-src_port              src_port":\s+(?<src_port>\d+)


syslog : EXTRACT-status                ^(?:[^\}\n]*\}){2},\s+"\w+_\w+":\s+"(?P<status>\w+)


syslog : EXTRACT-total_bytes,up_bytes,down_bytes        total:\s+(?<total_bytes>\d+)\s+up:\s+(?<up_bytes>\d+)\s+down:\s(?<down_bytes>\d+)


syslog : EXTRACT-url                  url":\s+"(?<url>[^"]+)"