IPS的日志格式为:
Mar 10 17:12:34 XX-Internet-IPS1-XX03-XXU IPS: SerialNum=23139121 GenTime="2023-03-10 17:12:34"
在写IPS的日志解码器时,发现默认的正则类型处理类型很有限,GenTime的“”都无法解析,最后在正则表达式上设置了type="pcre2"就可以解析出来了:
<decoder name="ips_log"> <program_name>^IPS</program_name> </decoder> <decoder name="ips_log"> <parent>ips_log</parent> <regex type="pcre2">SerialNum=(\d+) GenTime="(.+?)"</regex> <order>SerialNum,GenTime</order> </decoder>