Пользовательский шаблон Grok - как соответствовать определенному формату домена

Question

Мне нужно сопоставить только эту часть *.server.domain.com* из журнала ниже и присвоить переменной домена. Любая идея, как должен выглядеть шаблон, шаблон HOSTNAME по умолчанию у меня не работает.

Apr  4 10:46:25 10.42.203.245 ThreatInsightAnalytics[29407]: The CNAME record '*.server.domain.com' is successfully added into BlackList RPZ zone(s) with comment '[2018-04-04 10:46:22 UTC] [member: infoblox.localdomain] DNS Tunneling' and policy 'No Such Domain'.

Answer 1

Вы можете использовать синтаксис Oniguruma, чтобы добавить asterisk и . в предопределенный шаблон grok для HOSTNAME и создать собственный шаблон следующим образом:

(?<domain_name>\*\.)%{HOSTNAME}

OR

(?<domain_name>\*\.\b(?:[0-9A-Za-z][0-9A-Za-z-]{0,62})(?:\.(?:[0-9A-Za-z][0-9A-Za-z-]{0,62}))*(\.?|\b))

Это даст следующий вывод в вашем журнале,

{
  "domain_name": [
    [
      "*.server.domain.com"
    ]
  ]
}

надеюсь, это поможет