Question

Я использую Graylog для управления журналами своего сервера.

Я бы хотел отфильтровать доступ к журналам apache, чтобы вести журналы с http-кодом ответа 4 ** и 5 **

Поэтому я хотел бы использовать регулярное выражение:

Если я ищу /HTTP/, у меня есть соответствующие журналы, такие как:

[...] "HEAD /register HTTP/1.1" 301 460 "-" [...]

Но если я ищу /HTTP\//, у меня есть нет сообщений. Я также пытался с /HTTP\\//, но с тем же результатом.

Я пытался с регулярным выражением /HTTP(?:.*?)"\s[4|5](?:\d{2})/, но сообщение не найдено.

Как найти простой шаблон, такой как HTTP/, с помощью регулярного выражения в Graylog?

Thx

Johann Kexel · Answer 1 · 14 марта 2020

Почему бы вам не использовать экстрактор для сопоставления http-кодов состояния с полями.

Тогда вы можете легко отфильтровать и сгруппировать свои журналы, чтобы найти те со специальными кодами.

Пожалуйста см. следующие ссылки

Используйте регулярное выражение для ведения журналов доступа с HTTP-ответом 4 и 5

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.