使用Python读取/解析Snort警报文件

Question

将文本文件(snort警报)的部分设置为单独的变量的最佳方法是什么？

例如："Snort日志输出“

08/17-11:41:07.350700  [**] [1:1000011:0] [*] [Priority: 0] {TCP} 192.168.0.1:24586 -> 192.168.0.8:53804

我需要设置：

08/17-11:41:07.350700
192.168.0.1:24586
192.168.0.8:53804

来分离变量。

这并不重要，但我希望能够从同一个文件中读取/设置多个警报。

但首先我只想设置一个警报。

Answer 1

解析字符串通常使用正则表达式。我建议阅读关于模块文档。

但是，在您的示例中，您可以使用split() string方法进行处理：

>>> s='08/17-11:41:07.350700 [] [1:1000011:0] [] [Priority: 0] {TCP} 192.168.0.1:24586 -> 192.168.0.8:53804'
>>> rec = s.split()
>>> rec
['08/17-11:41:07.350700', '[]', '[1:1000011:0]', '[]', '[Priority:', '0]', '{TCP}', '192.168.0.1:24586', '->', '192.168.0.8:53804']
>>> ts = rec[0]
>>> src = rec[6]
>>> dst = rec[7]

Answer 2

关于这个主题的变体。

#Python 2.7.3

snort = '08/17-11:41:07.350700 [**] [1:1000011:0] [*] [Priority: 0] {TCP} 192.168.0.1:24586 -> 192.168.0.8:53804'

(dt,x,x,x,x,x,x,ip1,x,ip2) = snort.split()

print (dt,ip1,ip2)
('08/17-11:41:07.350700', '192.168.0.1:24586', '192.168.0.8:53804')