Grep Dopasuj i wyodrębnij

10

Mam plik zawierający linie jako

proto=tcp/http  sent=144        rcvd=52 spkt=3 
proto=tcp/https  sent=145        rcvd=52 spkt=3
proto=udp/dns  sent=144        rcvd=52 spkt=3

I trzeba wyodrębnić wartość proto który jest tcp/http, tcp/https, udp/dns.

Do tej pory próbowałem tego, grep -o 'proto=[^/]*/'ale tylko w stanie wyodrębnić wartość jako proto=tcp/.

awk grep

— użytkownik356831
źródło

3

Możliwy duplikat Czy grep może wyświetlać tylko określone grupy pasujące?

— Julien Lopez

To jest zadanie dla sed, awklub perlnie grep.

— OrangeDog,

1

Zakładając, że jest to związane z twoim poprzednim pytaniem , idziesz niewłaściwą ścieżką. Zamiast próbować poskładać fragmenty skryptów, które w pewien sposób będą robić to, co chcesz przez większość czasu i musisz uzyskać zupełnie inny skrypt za każdym razem, gdy będziesz musiał zrobić coś choć trochę innego, po prostu stwórz 1 skrypt, który może przeanalizować twój plik wejściowy do tablicy ( f[]poniżej), która odwzorowuje nazwy pól (tagi) na ich wartości, a następnie możesz zrobić, co chcesz z wynikiem, np. biorąc pod uwagę ten plik wejściowy z poprzedniego pytania:

$ cat file
Feb             3       0:18:51 17.1.1.1                      id=firewall     sn=qasasdasd "time=""2018-02-03"     22:47:55        "UTC""" fw=111.111.111.111       pri=6    c=2644        m=88    "msg=""Connection"      "Opened"""      app=2   n=2437       src=12.1.1.11:49894:X0       dst=4.2.2.2:53:X1       dstMac=42:16:1b:af:8e:e1        proto=udp/dns   sent=83 "rule=""5"      "(LAN->WAN)"""

możemy napisać skrypt awk, który tworzy tablicę wartości indeksowanych według ich nazw / znaczników:

$ cat tst.awk
{
    f["hdDate"] = $1 " " $2
    f["hdTime"] = $3
    f["hdIp"]   = $4
    sub(/^([^[:space:]]+[[:space:]]+){4}/,"")

    while ( match($0,/[^[:space:]]+="?/) ) {
        if ( tag != "" ) {
            val = substr($0,1,RSTART-1)
            gsub(/^[[:space:]]+|("")?[[:space:]]*$/,"",val)
            f[tag] = val
        }

        tag = substr($0,RSTART,RLENGTH-1)
        gsub(/^"|="?$/,"",tag)

        $0 = substr($0,RSTART+RLENGTH)
    }

    val = $0
    gsub(/^[[:space:]]+|("")?[[:space:]]*$/,"",val)
    f[tag] = val
}

i biorąc pod uwagę, że możesz robić, co chcesz z danymi, po prostu odwołuj się do nich za pomocą nazw pól, np. używając GNU awk -edla ułatwienia mieszania skryptu w pliku ze skryptem wiersza poleceń:

$ awk -f tst.awk -e '{for (tag in f) printf "f[%s]=%s\n", tag, f[tag]}' file
f[fw]=111.111.111.111
f[dst]=4.2.2.2:53:X1
f[sn]=qasasdasd
f[hdTime]=0:18:51
f[sent]=83
f[m]=88
f[hdDate]=Feb 3
f[n]=2437
f[app]=2
f[hdIp]=17.1.1.1
f[src]=12.1.1.11:49894:X0
f[c]=2644
f[dstMac]=42:16:1b:af:8e:e1
f[msg]="Connection"      "Opened"
f[rule]="5"      "(LAN->WAN)"
f[proto]=udp/dns
f[id]=firewall
f[time]="2018-02-03"     22:47:55        "UTC"
f[pri]=6

$ awk -f tst.awk -e '{print f["proto"]}' file
udp/dns

$ awk -f tst.awk -e 'f["proto"] ~ /udp/ {print f["sent"], f["src"]}' file
83 12.1.1.11:49894:X0

— Ed Morton
źródło

2

To jest niesamowite, dziękuję bardzo :)

— user356831

Do tego rodzaju pracy perlmoże być łatwiejszy w użyciu.

— OrangeDog,

1

@OrangeDog, dlaczego tak myślisz? Chciałbym zobaczyć odpowiednik w perlu, jeśli nie miałbyś nic przeciwko opublikowaniu takiej odpowiedzi. Perla zdecydowanie nie będzie łatwiejszy w użyciu, jeśli nie mam go na swoim pudełku i nie mogę go zainstalować, z czym często miałem do czynienia przez lata. Z drugiej strony Awk jest obowiązkowym narzędziem, dlatego jest zawsze obecne w instalacjach UNIX, podobnie jak sed, grep, sort itp.

— Ed Morton

@EdMorton prawda, chociaż nigdy osobiście nie spotkałem dystrybucji, w której perl nie był domyślnie dołączony. Skomplikowane awki sedskrypty są zwykle prostsze, perlponieważ jest to w zasadzie ich nadzbiór, z dodatkowymi funkcjami do typowych zadań.

— OrangeDog,

@OrangeDog nikt nigdy nie powinien pisać skryptu sed, który jest bardziej skomplikowany, s/old/new/ga sed nie jest awk, więc odłóżmy to na bok. Całkowicie się nie zgadzam, że skomplikowane skrypty awk są prostsze w perlu. Oczywiście mogą być krótsze, ale zwięzłość nie jest pożądanym atrybutem oprogramowania, jest to zwięzłe i niezwykle rzadko mają one jakąkolwiek rzeczywistą korzyść, a ponadto są znacznie trudniejsze do odczytania, dlatego ludzie publikują takie rzeczy jak zoitz.com / archives / 13 o perlu i nazywają go językiem tylko do zapisu, w przeciwieństwie do awk. Nadal chciałbym zobaczyć perla równoważnego temu

— Ed Morton

13

Za pomocą grep -omusisz dopasować dokładnie to, co chcesz wyodrębnić. Ponieważ nie chcesz wyodrębniać proto=ciągu, nie powinieneś go dopasowywać.

Rozszerzone wyrażenie regularne, które pasowałoby do jednego tcplub udppo którym następuje ukośnik i niepusty ciąg alfanumeryczny to

(tcp|udp)/[[:alnum:]]+

Zastosowanie tego do danych:

$ grep -E -o '(tcp|udp)/[[:alnum:]]+' file
tcp/http
tcp/https
udp/dns

Aby upewnić się, że robimy to tylko w wierszach rozpoczynających się od ciągu proto=:

grep '^proto=' file | grep -E -o '(tcp|udp)/[[:alnum:]]+'

Z sed, usuwając wszystko przed pierwszym =i po pierwszym pustym znaku:

$ sed 's/^[^=]*=//; s/[[:blank:]].*//' file
tcp/http
tcp/https
udp/dns

Aby mieć pewność, że robimy to tylko w wierszach rozpoczynających się od łańcucha proto=, możesz wstawić ten sam krok wstępnego przetwarzania grepjak powyżej lub możesz użyć

sed -n '/^proto=/{ s/^[^=]*=//; s/[[:blank:]].*//; p; }' file

Tutaj pomijamy domyślne wyjście z -nopcją, a następnie uruchamiamy podstawienia i wyraźny wydruk linii tylko wtedy, gdy linia pasuje ^proto=.

Za awkpomocą domyślnego separatora pól, a następnie podzielenie pierwszego pola =i wydrukowanie jego drugiego bitu:

$ awk '{ split($1, a, "="); print a[2] }' file
tcp/http
tcp/https
udp/dns

Aby mieć pewność, że robimy to tylko w wierszach rozpoczynających się od łańcucha proto=, możesz wstawić ten sam krok wstępnego przetwarzania grepjak powyżej lub możesz użyć

awk '/^proto=/ { split($1, a, "="); print a[2] }' file

— Kusalananda
źródło

10

Jeśli korzystasz z GNU grep (dla -Popcji), możesz użyć:

$ grep -oP 'proto=\K[^ ]*' file
tcp/http
tcp/https
udp/dns

Tutaj dopasowujemy proto=ciąg, aby upewnić się, że wyodrębniamy poprawną kolumnę, ale następnie odrzucamy ją z wyniku za pomocą \Kflagi.

Powyższe zakłada, że kolumny są rozdzielone spacjami. Jeśli tabulatory są również prawidłowym separatorem, użyłbyś \Sdo dopasowania znaków spacji, więc komenda wyglądałaby następująco:

grep -oP 'proto=\K\S*' file

Jeśli chcesz również chronić przed polami dopasowania, w których proto=znajduje się podłańcuch, taki jak a thisisnotaproto=tcp/https, możesz dodać granicę słów za pomocą \b:

grep -oP '\bproto=\K\S*' file

— użytkownik000001
źródło

1

Możesz to poprawić, pisząc tylko grep -oP 'proto=\K\S+'. Po proto=tcp/httpspacji może występować tabulator zamiast spacji, w \Sprzeciwieństwie do [^ ]pasujących do znaków spacji.

— mosvy

@mosvy: To dobra sugestia, dzięki.

— user000001

1

W każdym razie -ojest to również GNUism. -Pjest obsługiwany tylko przez GNU, grepjeśli jest zbudowany z obsługą PCRE (opcjonalnie w czasie kompilacji).

— Stéphane Chazelas

6

Używanie awk:

awk '$1 ~ "proto" { sub(/proto=/, ""); print $1 }' input

$1 ~ "proto"upewnimy się, że podejmujemy działania tylko na wierszach z protopierwszej kolumny

sub(/proto=/, "")usunie proto=z wejścia

print $1 wypisuje pozostałą kolumnę

$ awk '$1 ~ "proto" { sub(/proto=/, ""); print $1 }' input
tcp/http
tcp/https
udp/dns

— Jesse_b
źródło

3

Kodowanie golfa w greprozwiązaniach

grep -Po "..p/[^ ]+" file

lub nawet

grep -Po "..p/\S+" file

— bu5hman
źródło

3

Za pomocą cutpolecenia:

cut -b 7-15 foo.txt

— Capeya
źródło

3

Obejmuje to końcowe spacje w liniach httpi dns.

— G-Man,

2

Po prostu inne greprozwiązanie:

grep -o '[^=/]\+/[^ ]\+' file

I podobny z seddrukowaniem tylko dopasowanej przechwyconej grupy:

sed -n 's/.*=\([^/]\+\/[^ ]\+\).*/\1/p' file

— Freddy
źródło

1

Inne awkpodejście:

$ awk -F'[= ]' '/=(tc|ud)p/{print $2}' file
tcp/http
tcp/https
udp/dns

Spowoduje to ustawienie separatora pól awk na jeden =lub spację. Następnie, jeśli linia pasuje do a =, następnie albo udalbo tcpo nim p, wydrukuj drugie pole.

Innym sedpodejściem (nie przenośny do wszystkich wersji sed, ale współpracuje z GNU sed):

$ sed -En 's/^proto=(\S+).*/\1/p' file 
tcp/http
tcp/https
udp/dns

Te -nśrodki „nie drukować” i -Eumożliwia rozszerzonych wyrażeń regularnych, które dają nam \Sdo „nie-białych znaków” +na „jeden lub więcej” i nawiasów do przechwytywania. Wreszcie, /pna końcu sprawi, że sed wydrukuje linię tylko wtedy, gdy operacja zakończyła się powodzeniem, więc jeśli wystąpiło dopasowanie dla operatora podstawienia.

I perlowy:

$ perl -nle '/^proto=(\S+)/ && print $1' file 
tcp/http
tcp/https
udp/dns

Te -nśrodki „czytać wiersz po wierszu pliku wejściowego i zastosować skrypt podany przez -ekażdej linii”. -lDodaje się do każdej nowej linii printpołączenia (i usuwa nowe linie wychodzące z wejścia). Sam skrypt wypisze najdłuższy ciąg znaków niebiałych spacji znalezionych po proto=.

— terdon
źródło

1

-Estaje się coraz bardziej przenośny, ale \Snie jest. [^[:space:]]jest bardziej przenośnym odpowiednikiem.

— Stéphane Chazelas

1

Oto inne rozwiązanie dość proste:

grep -o "[tc,ud]*p\\/.*  "   INPUTFile.txt  |   awk '{print $1}'

— mkzia
źródło

Twoje grepnic nie pasuje. [tc,ud]\*\\/.*szuka jednego wystąpienia t, lub c, lub ,lub ulub d, po którym następuje dosłowny *znak, a następnie a pi odwrotny ukośnik. Prawdopodobnie miałeś na myśli grep -Eo '(tc|ud)p/.* ' file | awk '{print $1}'. Ale wtedy, jeśli używasz awk, można również zrobić całość w awk: awk -F'[= ]' '/(tc|ud)p/{print $2}' file.

— terdon

Ktoś zmodyfikował mój oryginał, przed gwiazdą pojawił się dodatkowy ukośnik, który właśnie usunąłem Sir.

— mkzia

Dzięki za edycję, ale obawiam się, że to działa tylko przez przypadek. Jak wyjaśniono wcześniej, [tc,ud]poznacza „jeden t, c, ,, ulub dpo przez p. Więc pasuje tu tylko dlatego, że tcpma cpi udpma dp. Ale to też pasuje ,plub tpitd. Również teraz, że masz *, to pasuje pppjak dobrze (the *. oznacza „0 lub więcej”, więc będzie on pasował nawet gdy nie pasuje) nie chcesz klasę postaci ( [ ]), co chcesz to grupa: (tc|ud)(korzystanie z -Eflagą grep). Ponadto, .*czyni go dopasuj całą linię

— terdon

1

@Jesse_b: Chociaż mkzia nie jest technicznie „nowym współtwórcą”, jest niedoświadczonym użytkownikiem, o czym świadczy fakt, że nie użyli formatowania kodu do swoich poleceń. A jednak byli na tyle sprytni, aby pisać, \*aby pierwszy *w swoim poleceniu pojawił się jako *, a nie kursywą. Po umieszczeniu polecenia w formacie kodu spowodowałeś \pojawienie się przed nim *(co spowodowało niepowodzenie polecenia). Gdy edytujesz posty innych osób, uważaj na zmianę wyglądu posta w ten sposób.

— G-Man

@terdon: (1) Nie, właściwie to nie pasuje ppp. Oczywiście masz rację, że będzie on pasował ,palbo  tp- albo uucp, ttp, cutp, ductplub d,up.

— G-Man

0

awk '{print $1}' filename|awk -F "=" '{print $NF}'

— Praveen Kumar BS
źródło

0

cat file| cut -f1 -d' '| cut -f2 -d'='
tcp/http
tcp/https
udp/dns

opcje cięcia:

-f - pole
-d - delimetr

— Dr Alexander
źródło