Специальные символы регулярных выражений

Для поиска событий, паттернов и значений параметров событий в разделе Процессор событий вы можете использовать регулярные выражения. Kaspersky MLAD поддерживает использование следующих специальных символов в регулярных выражений:

• ^ – Соответствует началу значения параметра. Например, ^А означает, что поиск в параметре события будет осуществляться по значениям, начинающимся с символа А.
• $ – Соответствует концу значения параметра. Например, А$ означает, что поиск в параметре события будет осуществляться по значениям, заканчивающимся на символ А.
• . – Соответствует одному любому символу.
• | – Разделяет допустимые варианты символов или совокупности символов в значении параметра. Например, к(о|и)т соответствует как значению параметра кот, так и кит.
• \ – Символ, указывающий на то, что следующий символ является обычным символом в значении параметра, а не специальным. Вы можете использовать символ \ для поиска специальных символов в значении параметра. Например, \. описывает точку в значении параметра, а \\ описывает обратную косую черту.
• [] – Соответствует любому символу из набора допустимых символов. Например, [абв] соответствует появлению одного из трех указанных символов.

  Для поиска по диапазону значений вы можете использовать символ -. Если требуется найти символы, которые не входят в указанный диапазон, вы можете использовать символ ^ внутри квадратных скобок. Например, [^0-9] задает возможность появления любого символа, кроме цифр.

Для указания нужного количества повторений выражения в значениях параметров событий вы можете использовать следующие специальные символы:

• ? – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или один раз.
• * – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра ноль или более раз.
• + – Символ, определяющий, что предшествующее выражение может встречаться в значении параметра один или более раз.
• {} – Символьный класс, позволяющий указать нужное количество повторений предшествующего выражения. Вы можете указать количество повторений одним из следующих способов:
  • {n} – Выражение, предшествующее фигурным скобкам, встречает в значении параметра ровно n раз.
  • {m,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра от m до n раз включительно.
  • {m,} – Выражение. предшествующее фигурным скобкам, встречается в значении параметра не менее m раз.
  • {,n} – Выражение, предшествующее фигурным скобкам, встречается в значении параметра не более n раз.

Вы также можете использовать скобки () для объединения элементов выражения в группу. Например, (к[ои]т){2} найдет вхождения коткот, киткит, киткот и коткит.