Мне нужна ваша помощь, чтобы создать регулярное регулярное выражение для соответствия двух типов журналов только с одним шаблоном. Я уже пытался создать шаблон, соответствующий обоим типам журналов, отправленных моим брандмауэром, к сожалению, безрезультатно. Под исходным шаблоном, который я использую для соответствия журналам traffi c.
PATTERN:
logid = ...... (00013). * Type = "(\ S +)" . * подтип = "(\ S +)". * уровень = "(\ S +)". * VD = "(\ S +)". * srcip = (\ d +. \ d +. \ d +. \ d +). * srcintf = "(\ S +)". * dstip = (\ d +. \ d +. \ d +. \ d +). * dstport = (\ d +). * dstintf = "(\ S +)". * действие = "(\ S + ) ". * policyid = (\ d +). * service =" (\ S +) ". dstcountry =" (. ?) ". * srccountry =" (\ S +) "
LOGS:
logid = "0000000013" type = "traffi c" subtype = "forward" level = "уведомление" vd = "root" eventtime = xxxxx srcip = xxxxx srcport = 46810 srcintf = "xxxxx" srcintfrole = "lan" dstip = 8.8.8.8 dstint = 53 dstintf = "wan1" dstintfrole = "wan" srcuuid = "xxxxxx" dstuuid = "ecf39860-9ee7-51e9-fb6e-2f2d4d2f40id" xolu = xxxxxx proto = 17 action = "deny" policyid = 34 policytype = "policy" service = "DNS" dstcountry = "United States" srccountry = "Зарезервировано
logid =" 0000000013 "type =" traffi c "subtype =" forward "level =" уведомление "vd =" root "eventtime = xxxxx srcip = xxxxx srcport = 46810 srcintf =" xxxxx "srcintfr ole = "lan" dstip = 8.8.8.8 dstintf = "wan1" dstintfrole = "wan" srcuuid = "xxxxxx" dstuuid = "xxxxxx" poluuid = "xxxxxxx" sessionid = 29373461 proto = 1 action = "deny" policyid = 34 policytype = "policy" service = "PING" dstcountry = "United States" srccountry = "Reserved
Первый журнал соответствует, потому что это запрос DNS, и я использую поле" dstport "и совпадает с портом 53, второй файл не совпадает, потому что ICMP не использует порт TCP или UDP.
Я хотел бы знать, как лучше всего использовать только шаблон WAN для сопоставления обоих журналов.
Дайте мне знать С наилучшими пожеланиями