Windowsログイベント内の文の一部を解析する正規表現を作成しようとしています。
例として、EventCode=7035は以下を生成します。
The Network Location Awareness (NLA) service was.....sent a start
The Network Connection service was....sent a stop
The HTTP service was....sent a start
The HTTP service was....sent a stop
etc...
解析したいのは、「The」と「service」の間の情報だけでなく、作業の開始または停止です。
そうすれば、開始または停止したサービスのリストを作成できます。
これについての考え?
Pythonの例(質問のテキストはにありますs):
re.findall("(The.*?service).*?(start|stop)",s)
与える:
[('The Network Location Awareness (NLA) service', 'start'),
('The Network Connection service', 'stop'),
('The HTTP service', 'start'), ('The HTTP service', 'stop')]
この正規表現を使用してデータを抽出できると思います。
The (.*?) service .*? (start|stop)
データはキャプチャグループ1と2にあります。
SplunkInteractiveフィールドエクストラクタを使用しました。
次の正規表現を検索に使用します。
サービスタイプの場合
| rex "(?i)^The\s(?P<ServiceType>[^ ]+)\sservice"
サービスステータスについて
| rex "(?i)sent\sa\s(?P<ServiceStatus>[^ ]+)"
さらに結果とグラフを作成するには、フィールド「ServiceType」と「ServiceStaus」を使用します。
\ sはスペース用であるか、実際のスペース""を使用できます。