我是unix的新手,并且使用sed和awk命令进行游戏。 我的示例snort规则有多个关键字“内容”出现。我需要提取内容之间的所有数据:“和”;到一个文件。如何使用sed或grep命令提取两个匹配模式之间的多个字符串出现
此示例包含单行中的一条规则。我的实际文件包含30k这样的规则。
1rule文件包含
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"APP-DETECT Absolute Software Computrace outbound connection - search.namequery.com"; flow:to_server,established; content:"Host|3A| search.namequery.com|0D 0A|"; fast_pattern:only; http_header; content:"TagId: "; http_header; metadata:policy security-ips drop, ruleset community, service http; reference:url,absolute.com/support/consumer/technology_computrace; reference:url,www.blackhat.com/presentations/bh-usa-09/ORTEGA/BHUSA09-Ortega-DeactivateRootkit-PAPER.pdf; classtype:misc-activity; sid:26287; rev:4;) cat 4rules|sed 's/.*content:"\([^";]*\)".*/\1/'sdfjklhaskl;jdf;kljasdfsjkdfhnkl;asdjfklasdfja'sjkdsdfh;askldjf`
预期输出:
Host|3A| search.namequery.com|0D 0A|
TagId
\([^
我想我使用sed和grep命令。
grep -Po '(?<=content:").*(?=";)' 1rule
sed 's/.*content:"\([^";]*\).*/\1/' 1rule
我得到的输出是不按预期:他们 的sed之间
使用grep,我可以看到所有的内容,但没有中间数据给了我一个行中最后一次出现非匹配的行沿发生后。
请告诉我知道我该如何解决这个问题。
为什么你不希望':“'和'”;'在这个':“APP-DETECT绝对软件Computrace出站连接 - search.namequery.com之间的文本”;'? –
@AvinashRaj:现在我试图提取关键字内容之间的字符串:“and”;因为Snort(入侵检测系统)将内容字符串与传入数据包进行比较 – Venkat