有时我想从 Apache 日志文件中 grep CIDR 范围。对于位于自然边界(/8、/16 和 /24)的范围,这很容易,但对于其他范围(例如 /17 和 /25)则不那么容易。
例子:
# 192.168.0.0/16: (easy)
grep " 192\.168\." access_log
# 192.168.128.0/17: (more thought required)
grep -E " 192\.168\.(12[89]|1[3-9][0-9]|2[0-5][0-9])\." access_log
# 192.168.0.0/17: (more thought required)
grep -E " 192\.168\.([0-9]|[0-9][0-9]|1[01][0-9]|12[0-7])\." access_log
# 192.168.128.0/18: (straining my brain)
grep -E " 192\.168\.(1[2-8][0-9]|19[01])\." access_log
这些正则表达式会忽略包含前导零的 IP 地址,例如192.168.001.001,这在 Apache 日志文件中不是问题,但在其他日志文件中可能存在问题。打印机似乎尤其喜欢前导零。将可选的零添加到正则表达式中很容易,但这只会使整个事情变得更加困难。一定有更简单的方法。
有没有一种简单的方法可以从文件中选择与任何 CIDR 范围匹配的行?
如果它们能让工作变得更简单,我会考虑使用花哨的正则表达式扩展和其他工具(例如awk或,perl如果必要的话,但我希望它是一行代码)。理想情况下,我想要的是类似
grep "[:CIDR 192.168.128.0/18:]" access_log
将 CIDR 范围转换为适当的正则表达式的工具也可以。
$ cidr2regex 192.168.0.0/18
192\.168\.(1[2-8][0-9]|19[01])\.[0-9]{1,3}
或者
$ grep -E "$(cidr2regex 192.168.0.0/18)" access_log
如果您的答案还涉及 IPv6,则可以获得加分。
答案1
毫不奇怪,有一个工具可以实现这一目标:grepcidr。
据我所知,任何系统都不默认包含它,但你可以下载它从这里,并且它也位于 Ubuntu 软件包存储库和 FreeBSD 端口集合中。
(2.0 版本也适用于 IPv6 网络)
答案2
最近发布的rgxg命令行工具生成与 CIDR 块中的所有地址匹配的正则表达式:
$ rgxg cidr 192.168.128.0/18
192\.168\.(19[01]|1[3-8][0-9]|12[89])\.(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9])
或者
$ rgxg cidr 2001:db8:a:b:c:d::/112
2001:0?[Dd][Bb]8:0?0?0?[Aa]:0?0?0?[Bb]:0?0?0?[Cc]:0?0?0?[Dd]((::[0-9A-Fa-f]{1,4}|::|:0?0?0?0(::|:[0-9A-Fa-f]{1,4}))|:0\.0(\.(25[0-5]|2[0-4][0-9]|1[0-9]{2}|[1-9]?[0-9])){2})
有关详细信息,请参阅For more information, seehttps://rgxg.github.io。