QRadar，解析日志

Question

我想解析一些应用程序日志，我做了许多与notepad++和www.regex101.com网站正确工作的正则表达式。但是当我在QRadar中应用它们时，它们不匹配任何东西。

，例如

2017年2月12日9:53:58,4040007，blablablbla，blablabla - Abonnement°：0663016666 balbalbal x 03/06/200611:11:22- Soldes,10.10.10.10

我做了这个regex (?<=---)\s+[A-Za-z+ \/\w+0-9._%+-]+(?=(\sN°|\s\sN°|\sID))来匹配Abonnement mobile --它正确地工作，但是在QRadar中没有匹配任何东西。

Answer 1

QRadar不接受所有regex配置。当您尝试解析某些内容时，可以使用提取属性字段进行检查。这是一个在我的系统中运行良好的正则表达式。

 \-\-\-\s(\w+\s\w+)\s

如果"Abonnement Mobile“字段包含字母或数字，则此正则表达式将工作。如果您想要捕获"Abonnement Mobile°“，您可以使用这个正则表达式，无论在这个字段中出现什么，这个正则表达式都可以工作。

 \-\-\-\s([^\:]+)\: