用于Mitel的Powershell Regex日志文件

Question

我在努力让这个大梁开始运作。这是我正在尝试使用的字符串。

08:07:46.914 ( 1708: 8624) G-MST: 400000EF " guid=00040000-73b2-5c7f-2295-00104941e7b0" ("10.10.60.3","10.10.29.251"),(10292, 59046),2(ULaw),rsn:1,12:05:15.623 (UTC),pl:20,(s:7525, r:7557, l:0),(j:0,u:27037,o:0) flgs:0x00000000 "sip:TGrp_5,p111@10.10.60.3:5441",vpn:0

这一次我失败得很。它在踢我的屁股。任何帮助都会很棒。到目前为止我所拥有的是：

(?<date>\d+[:]\d+[:]\d+[.]\d+).*?(?<InPorts>\d+).*?(?<OutPort>\d+).*?(?<GMST>\d+\w+).*?(?<Guid>\d+............................).*?(?<SourceIP>\d+\D+\d+\D+\d+\D+\d+).*?(?<targetIP>\d+\D+\d+\D+\d+\D+\d+).*?(?<SourceSpeed>\d+).*?(?<TargetSpeed>\d+).*?(?<AudioType>\d+).*?(?<rsn>\d+).*?(?<utc>\d+\D+\d+\D+\d+\D+\d+).*?(?<pl>\d+).*?(?<s>\d+).*?(?<r>\d+).*?(?<l>\d+).*?(?<j>\d+).*?(?<u>\d+).*?(?<o>\d+).*?(?<flags>\d+\w\d+).*?(?<sip>:(.*)").*?(?<vpn>\d+)

这个代码的问题是，GUID有不同的长度。Sip并不总是一个tgrp_5，有时只是p111。有时甚至更复杂。

这个regex的最终目标是将所有匹配相同模式的日志解析到数据库中。

Answer 1

您可以使用这样的模式

(?<date>\d[\d:.]+)\W+(?<InPorts>\d+):\s*(?<OutPort>\d+)\W+G-MST:\s*(?<GMST>\w+)\W+guid=(?<Guid>[^"]+)"\W+(?<SourceIP>\d{1,3}(?:\.\d{1,3}){3})\W+(?<targetIP>\d{1,3}(?:\.\d{1,3}){3})\W+(?<SourceSpeed>\d+)\W+(?<TargetSpeed>\d+)\D+(?<AudioType>\d+)\D+(?<rsn>\d+)\W+(?<utc>\d[\d.:]*)\D+(?<pl>\d+)\D+(?<s>\d+)\D+(?<r>\d+)\D+(?<l>\d+)\D+(?<j>\d+)\D+(?<u>\d+)\D+(?<o>\d+)\D+(?<flags>0x\d+).*?:(?<sip>[^"]*)"\D+(?<vpn>\d+)

见regex演示。

其要点是：

• 摆脱.*和.*?，这些模式往往会“过火”和过度匹配。
• 使用特定的模式，\D+可以从当前位置获取最近的数字(如果下一个模式是\d+)，或者如果下一个模式是单词字符，则使用\W+。