0

次の出力の値を抽出する必要があります。

Oct  6 17:29:52 FW kernel: [ 5470.058450] ipTables: IN= OUT=eth0 SRC=192.168.1.116 DST=192.168.1.110 LEN=516 TOS=0x10 PREC=0x00 TTL=64 ID=4949 DF PROTO=TCP SPT=22 DPT=46216 WINDOW=446 RES=0x00 ACK PSH URGP=0

たとえば、値に格納されているPROTOの値が必要です。シェルスクリプティングを試しましたが、私の問題は、ログエントリが毎回同じ順序である場合にのみ機能することです。

したがって、これは機能しません。

while read line
do
        in_if=`echo $line | cut -d ' ' -f 10 | cut -d '=' -f 2`;
        out_if=`echo $line | cut -d ' ' -f 11 | cut -d '=' -f 2`;
        src_ip=`echo $line | cut -d ' ' -f 12 | cut -d '=' -f 2`;
        dst_ip=`echo $line | cut -d ' ' -f 13 | cut -d '=' -f 2`;
        pro=`echo $line | cut -d ' ' -f 20 | cut -d '=' -f 2`;
        echo "$in_if,$out_if,$src_ip,$dst_ip,$pro" >> output.csv;
done < $tmp_file
4

6 に答える 6

4

Python はこれを便利に行います。すべての KEY=value ペアを取得する一般的な解決策は次のとおりです。

import re
import fileinput

pair_re = re.compile('([^ ]+)=([^ ]+)')  # Matches KEY=value pair

for line in fileinput.input():  # The script accepts both data from stdin or a filename 

    line = line.rstrip()  # Removes final spaces and newlines
    data = dict(pair_re.findall(line))  # Fetches all the KEY=value pairs and puts them in a dictionary

    # Example of usage:
    print "PROTO =", data['PROTO'], "SRC =", data['SRC']  # Easy access to any value

これは、シェル スクリプトよりも読みやすく、柔軟で、便利です。

于 2011-10-06T20:11:44.070 に答える
1

単純な Perl ソリューションは、最も読みやすいものかもしれません。

#!/usr/bin/env perl

use strict; use warnings;

my $s = q{Oct  6 17:29:52 FW kernel: [ 5470.058450] ipTables: IN= OUT=eth0
SRC=192.168.1.116 DST=192.168.1.110 LEN=516 TOS=0x10 PREC=0x00 TTL=64
ID=4949 DF PROTO=TCP SPT=22 DPT=46216 WINDOW=446 RES=0x00 ACK PSH URGP=0};

while ($s =~ /(?<k> [A-Z]+) = (?<v> \S*)/xg)  {
    print "'$+{k}' = '$+{v}'\n";
}

C:\Temp> z
'で' = ''
'OUT' = 'eth0'
「SRC」=「192.168.1.116」
「夏時間」=「192.168.1.110」
「LEN」=「516」
「TOS」=「0x10」
'PREC' = '0x00'
「TTL」=「64」
「ID」=「4949」
「プロト」=「TCP」
'SPT' = '22'
'DPT' = '46216'
'WINDOW' = '446'
「RES」=「0x00」
「URGP」=「0」

ログ行の情報をハッシュに割り当てることもできます。

my %entry = ($s =~ /(?<k> [A-Z]+) = (?<v> \S*)/xg);
于 2011-10-07T01:56:16.910 に答える
1

これは、Perl に触れなくても実行できます。あなたは正しい軌道に乗っていましたが、正規表現を使用すると、位置ではなく名前で検索できます。

また、$line の周りに引用符を付けて、パイプやセミコロンがぶら下がっていることに悩まされないようにする必要があります。

pro=`echo "$line" | grep -o 'PROTO=\w+\+' | cut -d '=' -f 2`;

もちろん、 Perl を使用たい場合は、もっと洗練されたソリューションを作成できます。

#!/usr/bin/perl
while(<>) {
    /IN=(\S*) .*OUT=(\S*) .*SRC=(\S*) .*DST=(\S*) .*PROTO=(\S*)/
       and print "$1,$2,$3,$4,$5\n";
}

次に呼び出します。

./thatScript.pl logFile.txt >>output.csv
于 2011-10-06T19:45:56.490 に答える
1

カットする必要さえありません:

grep -Po "(?<=PROTO=)\w+" yourFile

また

 sed -r 's/.*PROTO=(\w+).*/\1/' yourFile

また

awk -F'PROTO=' '{split($2,a," ");print a[1]}' yourfile

テスト:

kent$  echo "Oct  6 17:29:52 FW kernel: [ 5470.058450] ipTables: IN= OUT=eth0 SRC=192.168.1.116 DST=192.168.1.110 LEN=516 TOS=0x10 PREC=0x00 TTL=64 ID=4949 DF PROTO=TCP SPT=22 DPT=46216 WINDOW=446 RES=0x00 ACK PSH URGP=0"|grep -Po "(?<=PROTO=)\w+"
TCP

kent$  echo "Oct  6 17:29:52 FW kernel: [ 5470.058450] ipTables: IN= OUT=eth0 SRC=192.168.1.116 DST=192.168.1.110 LEN=516 TOS=0x10 PREC=0x00 TTL=64 ID=4949 DF PROTO=TCP SPT=22 DPT=46216 WINDOW=446 RES=0x00 ACK PSH URGP=0"|sed -r 's/.*PROTO=(\w+).*/\1/'
TCP

kent$  echo "Oct  6 17:29:52 FW kernel: [ 5470.058450] ipTables: IN= OUT=eth0 SRC=192.168.1.116 DST=192.168.1.110 LEN=516 TOS=0x10 PREC=0x00 TTL=64 ID=4949 DF PROTO=TCP SPT=22 DPT=46216 WINDOW=446 RES=0x00 ACK PSH URGP=0"|awk -F'PROTO=' '{split($2,a," ");print a[1]}'
TCP
于 2011-10-06T19:54:00.303 に答える
0

すべての応答に感謝します!

私はegrepと正規表現を使用してシェルスクリプトを作成する方法を選択しました...

in_if=`echo "$line" | egrep -Eo 'IN=eth[0-9]*\b' | cut -d '=' -f 2`;
out_if=`echo "$line" | egrep -Eo 'OUT=eth[0-9]*\b' | cut -d '=' -f 2`;
src_ip=`echo "$line" | egrep -Eo 'SRC=[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | cut -d '=' -f 2`;
dst_ip=`echo "$line" | egrep -Eo 'DST=[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | cut -d '=' -f 2`;
pro=`echo "$line" | grep -o 'PROTO=[A-Z]*\b' | cut -d '=' -f 2`;
于 2011-10-09T12:02:19.460 に答える
0

perlではこれでうまくいくはずです

#consider the $a variable has the log file my
$a = <<log file>>;
my $desired_answer;
#regex 
if ($a =~ m/PROTO=(.*?) /ig) 
{  $desired_answer=$1; }
于 2011-10-06T20:02:20.303 に答える