从citrix日志捕获用户代理的Regex

Question

需要帮助从citrix日志中捕获用户代理详细信息。对于成功的和拒绝的，citrix的日志格式是非常不同的。样本如下：

为了成功地进行身份验证，用户代理详细信息包含在"“中。详细信息在关键字Browser_type "“之后。

对于拒绝的通信量，"“中不存在用户代理详细信息。它出现在关键字浏览器之后。

拒绝

12月8日:20:53 netscaler02 12/08/2017:05:20:53 netscaler02 0-PPE-0 : AAA LOGIN_FAILED -adasd92 0: User renju - Client_ip X.X- Failure_reason“外部认证服务器拒绝访问”- Browser Mozilla/5.0 (WindowsNT6.1) AppleWebKit/537.36 (netscaler02，类似壁虎) Chrome/60.0.3112.113 Safari/537.36

成功

2017年12月8日:54:06 netscaler02 12/08/2017:11:54:06 GMT netscaler02 0-PPE-0 : SSLVPN登录-78342434122 0: Context renjus@1X.X.X.X - SessionId: xxx- User renju - Client_ip X.X- Nat_ip“映射的Ip”- Vserver X.X:443- Browser_type "Mozilla/5.0“(Windows 6.1；Win64；( x64) AppleWebKit/537.36 ( SSLVPN_asdasdat_type，类似壁虎) Chrome/56.0.2924.87 Safari/537.36“-SSLVPN_asdasdat_type ICA -群组"N/A”

我确实有一个正则表达式来捕获"“中的浏览器代理。

(？P(？<=Browser_type\s\))？(？=\s(？：\w+=|\)“

Bud需要一个从所有格式捕获用户代理的正则表达式。

提前谢谢。

Answer 1

也许你可以像这样匹配你的日志：

Browser(?:_type)?\s"?(.+|[^"]+)

• 将浏览器与可选的_type Browser(?:_type)匹配
• 后面跟着一个可选的双引号"?
• 后面是空格\s
• 然后在组(中捕获任意字符0次或多次.*
• 或|
• 直到你遇到一个双引号[^"]+
• 关闭组)

编辑：

若要捕获命名捕获组中没有可选"_type“的”浏览器“：

(?PBrowser)(?:_type)?\s"?(.+|[^"]+)

Answer 2

得到了，第四只鸟的最初推动，并在这方面做了一些工作。

)(？P(.+\“-|[^\”]+)