Documentation
Table of Contents
12 Expresiones regulares
¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô general
Las expresiones regulares (PCRE, PCRE2) son compatibles con Áú»¢¶Ä²©.
Hay dos formas de utilizar expresiones regulares en Áú»¢¶Ä²©:
- ingresar manualmente una expresi¨®n regular
- usando una expresi¨®n regular global creada en Áú»¢¶Ä²©
Expresiones regulares
Puede ingresar manualmente una expresi¨®n regular en lugares admitidos. Tenga en cuenta que la expresi¨®n no puede comenzar con @ porque ese s¨ªmbolo se usa en Áú»¢¶Ä²© para hacer referencia a expresiones regulares globales.
Es posible quedarse sin stack cuando se usa expresiones regulares. Ver la p¨¢gina para m¨¢s informaci¨®n.
Tenga en cuenta que en la coincidencia multil¨ªnea, los anclajes ^ y $ coinciden en el principio/final de cada l¨ªnea respectivamente, en lugar del principio/final de toda la cadena.
Consulte tambi¨¦n ejemplos de escape correcto en varios contextos.
Expresiones regulares globales
Hay un editor avanzado para crear y probar expresiones regulares complejas en la interfaz de Áú»¢¶Ä²©.
Una vez que se ha creado una expresi¨®n regular de esta manera, se puede usar en varios lugares en la interfaz haciendo referencia a su nombre, con el prefijo @, por ejemplo, @mycustomregexp.
Para crear una expresi¨®n regular global:
- Vaya a: Administraci¨®n ¡ú General
- Seleccione Expresiones regulares en el men¨² desplegable
- Haga clic en Nueva expresi¨®n regular
La pesta?a Expresiones permite establecer el nombre de la expresi¨®n regular y agregar subexpresiones.
Todos los campos de entrada obligatorios est¨¢n marcados con un asterisco rojo.
| ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô | |
|---|---|---|
| Nombre | Establezca el nombre de la expresi¨®n regular. Se permiten todos los caracteres Unicode. | |
| Expresiones | Haga clic en Agregar en el bloque Expresiones para agregar una nueva subexpresi¨®n. | |
| Tipo de expresi¨®n | Seleccione el tipo de expresi¨®n: Cadena de caracteres incluida: coincide con la subcadena Cualquier cadena de caracteres incluida: coincide con cualquier subcadena de una lista delimitada. La lista delimitada incluye una coma (,), un punto (.) o una barra diagonal (/). Cadena de caracteres no incluida: coincide con cualquier cadena excepto la subcadena El resultado es VERDADERO: coincide con la expresi¨®n regular El resultado es FALSO: no coincide con la expresi¨®n regular |
|
| ·¡³æ±è°ù±ð²õ¾±¨®²Ô | Ingrese una subcadena/expresi¨®n regular. | |
| Delimitador | Una coma (,), un punto (.) o una barra diagonal (/) para separar cadenas de texto en una expresi¨®n regular. Este ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç est¨¢ activo solo cuando se selecciona el tipo de expresi¨®n "Cualquier cadena de caracteres incluida". | |
| Distingue entre may¨²sculas y min¨²sculas | Casilla de verificaci¨®n para especificar si una expresi¨®n regular distingue entre may¨²sculas y min¨²sculas. | |
Una barra diagonal (/) en la expresi¨®n se trata de manera literal, en lugar de ser un delimitador. De esta manera, es posible guardar expresiones que contengan una barra diagonal sin errores.
Un nombre de expresi¨®n regular personalizado en Áú»¢¶Ä²© puede contener comas, espacios, etc. En aquellos casos en los que esto pueda llevar a una mala interpretaci¨®n al hacer referencia (por ejemplo, una coma en el ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç de una clave de elemento), toda la referencia puede colocarse entre comillas como esto: "@My custom regexp for purpose1, purpose2".
Los nombres de expresiones regulares no deben estar entre comillas en otras ubicaciones (por ejemplo, en las propiedades de la regla LLD).
En la pesta?a Prueba, la expresi¨®n regular y sus subexpresiones se pueden probar proporcionando una cadena de prueba.
Los resultados muestran el estado de cada subexpresi¨®n y el estado total de las expresiones personalizadas.
El estado total de las expresiones personalizadas se define como Resultado combinado. Si se definen varias subexpresiones, Áú»¢¶Ä²© utiliza el operador l¨®gico AND para calcular el Resultado combinado. Esto significa que si al menos un resultado es Falso, el Resultado combinado tambi¨¦n tiene estado Falso.
Expresiones regulares globales predeterminadas
Áú»¢¶Ä²© incluye varias expresiones regulares globales en su conjunto de datos predeterminado.
| Nombre | ·¡³æ±è°ù±ð²õ¾±¨®²Ô | Coincidencias |
|---|---|---|
| Sistemas de archivos para descubrimiento | ^(btrfs|ext2|ext3|ext4|jfs|reiser|xfs|ffs|ufs|jfs|jfs2|vxfs|hfs|refs|apfs|ntfs|fat32|zfs)$ |
"btrfs" o "ext2" o "ext3" o "ext4" o "jfs" o "reiser" o "xfs" o "ffs" o "ufs" o "jfs" o "jfs2" o "vxfs" o "hfs" o "refs" o "apfs" o "ntfs" o "fat32" o "zfs" |
| Interfaces de red para descubrimiento | ^Interfaz de bucle invertido de software |
Cadenas que comienzan con "Interfaz de bucle invertido de software". |
^lo$ |
"lo" | |
^(In)?[Ll]oop[Bb]ack[0-9._]*$ |
Cadenas que opcionalmente comienzan con "In", luego tienen "L" o "l", luego "oop", luego "B" o "b", luego "ack", que puede ir seguido opcionalmente de cualquier n¨²mero de d¨ªgitos, puntos o guiones bajos. | |
^NULL[0-9.]*$ |
Cadenas que comienzan con "NULL" opcionalmente seguidas de cualquier n¨²mero de d¨ªgitos o puntos. | |
^[Ll]o[0-9.]*$ |
Cadenas que comienzan con "Lo" o "lo" y opcionalmente seguidas de cualquier n¨²mero de d¨ªgitos o puntos. | |
^[Ss]ystem$ |
"System" o "system" | |
^Nu[0-9.]*$ |
Cadenas que comienzan con "Nu" opcionalmente seguidas de cualquier n¨²mero de d¨ªgitos o puntos. | |
| Dispositivos de almacenamiento para la detecci¨®n de SNMP | ^(Physical memory|Virtual memory|Memory buffers|Cached memory|Swap space)$ |
"Memoria f¨ªsica" o "Memoria virtual" o "B¨²feres de memoria" o "Memoria en cach¨¦" o "Espacio de intercambio" |
| Nombres de servicios de Windows para la detecci¨®n | ^(MMCSS|gupdate|SysmonLog|clr_optimization_v2.0.50727_32|clr_optimization_v4.0.30319_32)$ |
"MMCSS" o "gupdate" o "SysmonLog" o cadenas como "clr_optimization_v2.0.50727_32" y "clr_optimization_v4.0.30319_32" donde en lugar de puntos puede poner cualquier car¨¢cter excepto nueva l¨ªnea. |
| Estados de inicio del servicio de Windows para descubrimiento | ^(automatic|automatic delayed)$ |
"autom¨¢tico" o "autom¨¢tico retrasado" |
Ejemplos
Ejemplo 1
Uso de la siguiente expresi¨®n en descubrimiento de bajo nivel para descubrir bases de datos excepto una base de datos con un nombre espec¨ªfico:
Tipo de expresi¨®n elegido: "El resultado es FALSO". No coincide con el nombre,que contiene la cadena "TESTDATABASE".
Ejemplo con un modificador de expresiones regulares en l¨ªnea
Uso de la siguiente expresi¨®n regular que incluye un modificador en l¨ªnea (?i) para que coincida con los caracteres "error":
Tipo de expresi¨®n elegido: "El resultado es VERDADERO". Los caracteres "error" son emparejado.
Otro ejemplo con un modificador de expresiones regulares en l¨ªnea
Uso de la siguiente expresi¨®n regular que incluye m¨²ltiples en l¨ªnea modificadores para hacer coincidir los caracteres despu¨¦s de una l¨ªnea espec¨ªfica:
(?<=match (?i)everything(?-i) after this line)(?sx).*# we add s modifier to allow . match newline characters
Tipo de expresi¨®n elegido: "El resultado es VERDADERO". Personajes despu¨¦s de un espec¨ªfico. l¨ªnea coinciden.
El modificador g no se puede especificar en la l¨ªnea. La lista de modificadores disponibles se puede encontrar en la p¨¢gina de manual de . Para obtener m¨¢s informaci¨®n sobre la sintaxis PCRE, consulte .
Compatibilidad con expresiones regulares por ubicaci¨®n
| ±«²ú¾±³¦²¹³¦¾±¨®²Ô | ·¡³æ±è°ù±ð²õ¾±¨®²Ô regular | ·¡³æ±è°ù±ð²õ¾±¨®²Ô regular global | Coincidencia de varias l¨ªneas | Comentarios | ||
|---|---|---|---|---|---|---|
| M¨¦tricas del agente | ||||||
| eventlog[] | ³§¨ª | ³§¨ª | ³§¨ª | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Çs regexp, severity, source, eventid |
||
| log[] | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç regexp |
|||||
| log.count[] | ||||||
| logrt[] | ³§¨ª/No | El ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç regexp admite ambos, el ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç file_regexp admite solo expresiones no globales |
||||
| logrt.count[] | ||||||
| proc.cpu.util[] | No | No | ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç cmdline |
|||
| proc.mem[] | ||||||
| proc.num[] | ||||||
| sensor[] | ±è²¹°ù¨¢³¾±ð³Ù°ù´Çs device y sensor en Linux 2.4 |
|||||
| system.hw.macaddr[] | ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç interface |
|||||
| system.sw.packages[] | ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç package |
|||||
| vfs.dir.count[] | ±è²¹°ù¨¢³¾±ð³Ù°ù´Çs regex_incl, regex_excl, regex_excl_dir |
|||||
| vfs.dir.get[] | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Çs regex_incl, regex_excl, regex_excl_dir |
|||||
| vfs.dir.size[] | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Çs regex_incl, regex_excl, regex_excl_dir |
|||||
| vfs.file.regexp[] | ³§¨ª | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç regexp |
||||
| vfs.file.regmatch[] | ||||||
| web.page.regexp[] | ||||||
| Capturas SNMP | ||||||
| snmptrap[] | ³§¨ª | ³§¨ª | No | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç regexp |
||
| Preprocesamiento de valores de elementos | ³§¨ª | No | No | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç pattern |
||
| Funciones para iniciadores/m¨¦tricas calculados | ||||||
| count() | ³§¨ª | ³§¨ª | ³§¨ª | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç pattern si el ±è²¹°ù¨¢³¾±ð³Ù°ù´Ç operator es regexp o iregexp |
||
| countunique() | ³§¨ª | ³§¨ª | ||||
| find() | ³§¨ª | ³§¨ª | ||||
| logeventid() | ³§¨ª | ³§¨ª | No | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç pattern |
||
| logsource() | ||||||
| Descubrimiento de bajo nivel | ||||||
| Filtros | ³§¨ª | ³§¨ª | No | Campo ·¡³æ±è°ù±ð²õ¾±¨®²Ô regular | ||
| Anulaciones | ³§¨ª | No | En las opciones coincide, no coincide para las condiciones de °¿±è±ð°ù²¹³¦¾±¨®²Ô | |||
| Condiciones de acci¨®n | ³§¨ª | No | No | En las opciones coincide, no coincide para las condiciones de registro autom¨¢tico Nombre de host y Metadatos de host | ||
| Monitoreo web | ³§¨ª | No | ³§¨ª | Variables con un prefijo regex: Campo Cadena obligatoria |
||
| Contexto de macro de usuario | ³§¨ª | No | No | En contexto de macro con un prefijo regex: | ||
| Funciones de macro | ||||||
| regsub() | ³§¨ª | No | No | ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç pattern |
||
| iregsub() | ||||||
| Asignaci¨®n de iconos | ³§¨ª | ³§¨ª | No | Campo ·¡³æ±è°ù±ð²õ¾±¨®²Ô | ||
| Asignaci¨®n de valores | ³§¨ª | No | No | Campo Valor si el tipo de asignaci¨®n es regexp |
||