Regex - Leerzeichen entfernen
Hallo und frohes neues Jahr.
Ich arbeite mich eben in Regex und Wazuh ein.
Meine Firewall sendet via Syslog an Wazu. Funktioniert.
In Wazuh kommt alles an. Decoder und Rule erstellt. Funktioniert.
Allerdings habe ich ein Leerzeichen in "srcip" das ich gerne entfernen möchte.
Hier mal eine Log Nachricht:
Und hier der Decoder:
Ich verstehe diesen regex inetwa so. Zeige alles was sich zwischen SRC= und DST= befindet.
Nur leider befindet sich hinter SRC=113.164.100.28 ein Leerzeichen.
Dieses ist der Grund weshalb ich keine GeoIP Daten in Wazuh angezeigt bekomme.
Hier die decodierte Nachricht:
Ich blicke mit regex eigentlich noch nicht durch, weshalb ich hier um eure Hilfe bitten möchte.
Hat jemand Lust und Laune mir dabei zu helfen das Leerzeichen zu entfernen??
Danke sehr.
Ich arbeite mich eben in Regex und Wazuh ein.
Meine Firewall sendet via Syslog an Wazu. Funktioniert.
In Wazuh kommt alles an. Decoder und Rule erstellt. Funktioniert.
Allerdings habe ich ein Leerzeichen in "srcip" das ich gerne entfernen möchte.
Hier mal eine Log Nachricht:
2024-01-04T14:45:50+01:00 utm-01.local ulogd 7303 - - DROP: IPGeoBlockingSrc IN=wan0 OUT= MAC=45:00:00:28:a7:1e:00:00:39:06:db:3a:71:a4:64:1c:5c:74:cd:42:0f:79 SRC=113.164.100.28 DST=92.116.205.66 LEN=40 TOS=00 PREC=0x00 TTL=57 ID=42782 PROTO=TCP SPT=3961 DPT=37215 SEQ=1551158594 ACK=0 WINDOW=1904 SYN URGP
Und hier der Decoder:
<decoder name="securepoint-firewall">
<prematch>DROP: IPGeoBlockingSrc</prematch>
<type>syslog</type>
</decoder>
<decoder name="securepoint-firewall-filter">
<parent>securepoint-firewall</parent>
<regex>SRC=(\.*)DST=</regex>
<order>srcip</order>
</decoder>
Ich verstehe diesen regex inetwa so. Zeige alles was sich zwischen SRC= und DST= befindet.
Nur leider befindet sich hinter SRC=113.164.100.28 ein Leerzeichen.
Dieses ist der Grund weshalb ich keine GeoIP Daten in Wazuh angezeigt bekomme.
Hier die decodierte Nachricht:
**Messages:
WARNING: (7003): '63d13aaa' token expires
INFO: (7202): Session initialized with token '18c39536'
**Phase 1: Completed pre-decoding.
full event: '2024-01-04T14:45:50+01:00 utm-01.local ulogd 7303 - - DROP: IPGeoBlockingSrc IN=wan0 OUT= MAC=45:00:00:28:a7:1e:00:00:39:06:db:3a:71:a4:64:1c:5c:74:cd:42:0f:79 SRC=113.164.100.28 DST=92.116.205.66 LEN=40 TOS=00 PREC=0x00 TTL=57 ID=42782 PROTO=TCP SPT=3961 DPT=37215 SEQ=1551158594 ACK=0 WINDOW=1904 SYN URGP'
timestamp: '2024-01-04T14:45:50+01:00'
**Phase 2: Completed decoding.
name: 'securepoint-firewall'
srcip: '113.164.100.28 ' **Hier ist das Leerzeichen zu erkennen**
**Phase 3: Completed filtering (rules).
id: '100002'
level: '5'
description: 'IPGeoBlockingSrc'
groups: '["local","syslog","sshd"]'
firedtimes: '1'
mail: 'false'
**Alert to be generated.
Ich blicke mit regex eigentlich noch nicht durch, weshalb ich hier um eure Hilfe bitten möchte.
Hat jemand Lust und Laune mir dabei zu helfen das Leerzeichen zu entfernen??
Danke sehr.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 12608084687
Url: https://administrator.de/forum/regex-leerzeichen-entfernen-12608084687.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
sollte funktionieren. Eventuell zwei Backslashes vor dem s, da vor dem Punkt auch einer ist.
Zum Entwickeln und Testen von regexen:
https://regex101.com/
hth
Erik
SRC=(\.*)\sDST=
sollte funktionieren. Eventuell zwei Backslashes vor dem s, da vor dem Punkt auch einer ist.
Zum Entwickeln und Testen von regexen:
https://regex101.com/
hth
Erik
Zitat von @Ueba3ba:
Sau stark, hat funktioniert. Vielen lieben Dank, auch für den sehr geilen Link.
Danke
Sau stark, hat funktioniert. Vielen lieben Dank, auch für den sehr geilen Link.
Danke
Gerne