前言

正則表達式的基礎知識就不說了,有興趣的可以點擊這里，提取一般分兩種情況，一種是提取在文本中提取單個位置的字符串，另一種是提取連續多個位置的字符串。日志分析會遇到這種情況，下面我會分別講一下對應的方法。

一、單個位置的字符串提取

這種情況我們可以使用(.+?)這個正則表達式來提取。 舉例，一個字符串"a123b",如果我們想提取ab之間的值123，可以使用findall配合正則表達式，這樣會返回一個包含所以符合情況的list。

代碼如下：

import restr = "a123b"print re.findall(r"a(.+?)b",str)#輸出['123']

1.1貪婪和非貪婪匹配

如果我們有一個字符串”a123b456b”，如果我們想匹配a和最后一個b之間的所有值而非a和第一個出現的b之間的值，可以用?來控制正則貪婪和非貪婪匹配的情況。

代碼如下：

import restr = "a123b456b"print re.findall(r"a(.+?)b", str)#輸出['123']#?控制只匹配0或1個,所以只會輸出和最近的b之間的匹配情況print re.findall(r"a(.+)b", str)#輸出['123b456']print re.findall(r"a(.*)b", str)#輸出['123b456']

1.2多行匹配

如果你要多行匹配，那么需要加上re.S和re.M標志. 加上re.S后。將會匹配換行符，默認.不會匹配換行符。

代碼如下：

str = "a23b/na34b"re.findall(r"a(/d+)b.+a(/d+)b", str)#輸出[]#因為不能處理str中間有/n換行的情況re.findall(r"a(/d+)b.+a(/d+)b", str, re.S)#s輸出[('23', '34')]

加上re.M后,^$標志將會匹配每一行，默認^和$只會匹配第一行。

代碼如下：

str = "a23b/na34b"re.findall(r"^a(/d+)b", str)#輸出['23']re.findall(r"^a(/d+)b", str, re.M)#輸出['23', '34']

二、連續多個位置的字符串提取

這種情況我們可以使用(?P<name>…)這個正則表達式來提取。舉例，如果我們有一行webserver的access日志:'192.168.0.1 25/Oct/2012:14:46:34 "GET /api HTTP/1.1" 200 44 "http://abc.com/search" "Mozilla/5.0"'，我們想提取這行日志里面所有的內容，可以寫多個(?P<name>expr)來提取,其中name可以更改為你為該位置字符串命名的變量，expr改成提取位置的正則即可。

代碼如下：

import reline ='192.168.0.1 25/Oct/2012:14:46:34 "GET /api HTTP/1.1" 200 44 "http://abc.com/search" "Mozilla/5.0"'reg = re.compile('^(?P<remote_ip>[^ ]*) (?P<date>[^ ]*) "(?P<request>[^"]*)" (?P<status>[^ ]*) (?P<size>[^ ]*) "(?P<referrer>[^"]*)" "(?P<user_agent>[^"]*)"')regMatch = reg.match(line)linebits = regMatch.groupdict()print linebitsfor k, v in linebits.items() : print k+": "+v

輸出的結果為：