Я читаю журналы из файла журнала, который записывает многострочный тип. Читая QRadar, собирающий две записи и принимающий его как один журнал.
Я описал начальный и конечный шаблон строки журнала при добавлении источника журнала в QRadar как:
Я должен был прочитать журналы как:
1158896,someuser,Inner User,Minor,10.6.130.11,2019-09-29 03:01:15,Security Management,Log in to the server,Network Management,Succeeded,User name: someuser,2019-09-29 03:01:15
1158897,someuser,Inner User,Minor,10.6.130.11,2019-09-29 03:03:16,Security Management,Log out the server,Network Management,Succeeded,"User name: someuserOnline duration: 0 day(s) 0 hour(s) 2 minute(s) 1 second(s)",2019-09-29 03:03:16
Но я получаю некоторые из них в сборе, например:
1158896,someuser,Inner User,Minor,10.6.130.11,2019-09-29 03:01:15,Security Management,Log in to the server,Network Management,Succeeded,User name: someuser,2019-09-29 03:01:151158897,someuser,Inner User,Minor,10.6.130.11,2019-09-29 03:03:16,Security Management,Log out the server,Network Management,Succeeded,"User name: someuserOnline duration: 0 day(s) 0 hour(s) 2 minute(s) 1 second(s)",2019-09-29 03:03:16
Вот записи regex101.com моего начального и конечного шаблона RegEx.
https://regex101.com/r/2IfMR7/3
https://regex101.com/r/2IfMR7/4
Как видите, в regex101.com он работает нормально. Почему QRadar читает их как единое целое?