这篇文章上次修改于 1559 天前,可能其部分内容已经发生变化,如有疑问可询问作者。
正则表达式匹配IP地址:</span>
((25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))\.){3}(25[0-5]|2[0-4]\d|((1\d{2})|([1-9]?\d)))
splunk于Suricata配合是取字段正则
syslog : EXTRACT-app_proto app_proto":\s+"(?<app_proto>[^"]+)
syslog : EXTRACT-bytes_toclient bytes_toclient":\s+(?<bytes_toclient>\d+)
syslog : EXTRACT-bytes_toserver bytes_toserver":\s+(?<bytes_toserver>\d+)
syslog : EXTRACT-client_ip ^(?:[^ \n]* ){8}(?P<client_ip>[^:]+)
syslog : EXTRACT-client_port ^(?:[^:\n]*:){6}(?P<client_port>\d+)
syslog : EXTRACT-dest_ip dest_ip":\s+"(?<dest_ip>[^"]+)"
syslog : EXTRACT-dest_port dest_port":\s+(?<dest_port>\d+)
syslog : EXTRACT-eve_class category":\s+"(?<eve_class>[^"]+)"
syslog : EXTRACT-eve_id signature_id":\s(?<eve_id>\d+)
syslog : EXTRACT-eve_level severity":\s+(?<eve_level>\d+)
syslog : EXTRACT-eve_name signature":\s+"(?<eve_name>[^"]+)"
syslog : EXTRACT-eve_type event_type": "(?<eve_type>[^"]+)"
syslog : EXTRACT-level \|(?<level>\S+)$
syslog : EXTRACT-proto proto":\s+"(?<proto>[^"]+)
syslog : EXTRACT-server_ip ^[^\|\n]*\|(?P<server_ip>[^:]+)
syslog : EXTRACT-server_port ^(?:[^:\n]*:){7}(?P<server_port>\d+)
syslog : EXTRACT-src_ip src_ip":\s+"(?<src_ip>[^"]+)"
syslog : EXTRACT-src_port src_port":\s+(?<src_port>\d+)
syslog : EXTRACT-status ^(?:[^\}\n]*\}){2},\s+"\w+_\w+":\s+"(?P<status>\w+)
syslog : EXTRACT-total_bytes,up_bytes,down_bytes total:\s+(?<total_bytes>\d+)\s+up:\s+(?<up_bytes>\d+)\s+down:\s(?<down_bytes>\d+)
syslog : EXTRACT-url url":\s+"(?<url>[^"]+)"
没有评论