Блог

Получение системного журнала от сетевых устройств CISCO. Шаблон приведен ниже.

15749: 7 июля 02:19:38.884: %AUTHMGR-5-SECURITY_VIOLATION: Нарушение безопасности на интерфейсе GigabitEthernet2/0/10, обнаружен новый MAC-адрес (8cec.4b23.3815).AuditSessionID Не назначен

В приведенном выше сообщении шаблона «отображается новый MAC-адрес (8cec.4b23.3815)» является необязательным. Если «новый MAC-адрес () виден», нужен шаблон grok, чтобы извлечь macid.

Попробовал ниже шаблона grok,

1. %{GREEDYDATA:NRQ} (виден новый MAC-адрес (%{NOTSPACE:macid}))?%{ДАННЫЕ О ЖАДНОСТИ:NR}
2. %{GREEDYDATA:NRQ} (виден новый MAC-адрес (%{ДАННЫЕ:macid}))?%{ДАННЫЕ О ЖАДНОСТИ:NR}

Но, не в состоянии извлечь macid, используя приведенный выше шаблон grok