Cisco Cisco Firepower Management Center 2000 User Guide
36-33
FireSIGHT 系统用户指南
第 36 章 了解和编写入侵规则
了解规则中的关键字和参数
以下各节提供了有关为
pcre
关键字构建有效值的详细信息:
•
介绍用于兼容 Perl 的正则表达式中的
常见语法。
•
•
pcre
关键字在规则中的使用示例。
有关兼容 Perl 的正则表达式的基础知识
许可证:保护
pcre
关键字接受兼容 Perl 的正则表达式 (PCRE) 标准语法。以下各节介绍这种语法。
提示
本节介绍了可用于 PCRE 的基本语法,如果您需要更高级的信息,可参阅专门关于 Perl 和 PCRE
的网上参考资料或书籍。
的网上参考资料或书籍。
元字符
许可证:保护
元字符是在正则表达式中具有特殊含义的原义字符。在正则表达式中使用元字符时,必须通过在
元字符前添加一个反斜杠来对其进行“转义”。
元字符前添加一个反斜杠来对其进行“转义”。
下表举例说明可用于 PCRE 的元字符。
表
36-17
PCRE
元字符
元字符
说明
示例
.
匹配除换行符以外的任何字符。如果将
s
用
作修饰选项,还将匹配换行符。
abc.
匹配
abcd
、
abc1
、
abc#
等等。
*
匹配字符或表达式的零次或多次出现次数。
abc*
匹配
abc
、
abcc
、
abccc
、
abccccc
等等。
?
匹配字符或表达式的零次或一次出现次数。
abc?
匹配
abc
。
+
匹配字符或表达式的一次或多次出现次数。
abc+
匹配
abc
、
abcc
、
abccc
、
abccccc
等等。
()
组表达。
(abc)+
匹配
abc
、
abcabc
、
abcabcabc
等等。
{}
为字符或表达式指定匹配项数限制。如果要设
置下限和上限,请用逗号将下限和上限隔开。
置下限和上限,请用逗号将下限和上限隔开。
a{4,6}
匹配
aaaa
、
aaaaa
或
aaaaaa
。
(ab){2}
匹配
abab
。
[]
允许定义字符类,并匹配字符集中包含的任
意字符或字符组合。
意字符或字符组合。
[abc123]
匹配
a
、
b
或
c
等等。
^
匹配字符串开头的内容。如果在字符类中使
用,也可用于否定。
用,也可用于否定。
^in
匹配
info
中的“in”,但不匹配
bin
中的
“in”。
[^a]
匹配不包含
a
的任何内容。
美元
匹配字符串结尾的内容。
ce$
匹配
announce
中的“
ce
”,但不匹配
cent
中
的“ce”。
|
指示 OR 表达式。
(MAILTO|HELP)
匹配
MAILTO
或
HELP
。
\
元字符可用作实际字符,还可用于指定预定
义的字符类。
义的字符类。
\.
匹配句号,
\*
匹配星号,
\\
匹配反斜线,依此
类推。
\d
匹配数字字符,
\w
匹配字母数字字符,
依此类推。有关 PCRE 中使用的字符类的详细信
息,请参阅
息,请参阅
。