正则表达式“样本监视器日志文件输出”
正则表达式“样本监视器日志文件输出”
提问于 2015-02-04 16:21:48
在/var/log/消息中,我将获得IDS的输出。就像这样:
Feb 4 13:24:17 test1-1 snort[4535]: [122:1:1] (portscan) TCP Portscan [Classification: Attempted Information Leak] [Priority: 2] {PROTO:255} 10.0.0.1 -> 10.0.0.2我所做的是,使用 swatch 监视/var/log/messenges文件,并将日志输出发送到python脚本,这将通知一些智能手机管理人员。
所以我想要一个更详细的输出给经理。我使用的设置:
watchfor /.*(.*test1-1.*TCP Portscan.*).*/
exec command /usr/local/bin/send_msg "user" "$1"产出如下:
test1-1 snort[4535]: [122:1:1] (portscan) TCP Portscan但是我想要这样的,ip地址总是随机的:
test1-1 TCP Postscan 10.0.0.1 -> 10.0.0.2一个人怎么能这么做?用正则表达式?
亲切关怀
从你友好的系统管理员那里
回答 1
Stack Overflow用户
回答已采纳
发布于 2015-02-04 16:28:53
这将捕获有趣的部分:
watchfor /(test1-1).*(TCP Portscan).*} (.*)/
exec command /usr/local/bin/send_msg "user" "$1 $2 $3"页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/28326285
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号