个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化第24章学习笔记用正则表达式解析文本文件PowerShell 日志分析实战1. 前言为什么 PowerShell 里还要学正则表达式2. 正则表达式适合处理什么场景2.1 正则表达式不适合什么场景3. 正则表达式基础语法速览3.1 常用字符类3.2 常用量词3.3 常用锚点与转义4. PowerShell 中的两大利器-match 与 Select-String4.1 使用 -match 判断字符串4.2 使用 $matches 提取捕获组4.3 Select-String搜索文件和日志5. 常见实战场景日志分析拿来即用5.1 场景一查找 IIS 日志中的 40x 请求5.2 场景二从日志中提取 IPv4 地址5.3 场景三查找 WindowsUpdate.log 中关键字5.4 场景四在事件日志 Message 中做正则匹配6. -match、Select-String 与对象化处理的区别6.1 -match 适合什么6.2 Select-String 适合什么6.3 Where-Object 适合什么7. 常见易错点与避坑建议7.1 坑一默认不区分大小写7.2 坑二正则建议优先使用单引号7.3 坑三贪婪匹配容易匹配过多7.4 坑四大文件不要一次性全部读入8. 实战练习把知识真正用起来8.1 练习一找出文件名中包含两位数字的文件8.2 练习二筛选 Microsoft 公司进程8.3 练习三筛选 DNS 缓存中的 IPv4 记录8.4 练习四提取日志中的 IP 并导出 CSV9. 学习路线如何真正掌握 PowerShell 正则9.1 我的推荐学习路径9.2 建议收藏的帮助命令9.3 高级脚本中的 ValidatePattern10. 总结正则是文本排障的“最后精确工具”1. 前言为什么 PowerShell 里还要学正则表达式在 PowerShell 里我们平时更推荐处理对象因为对象可以继续排序、筛选、导出、统计和二次加工。但是在企业桌面运维、服务器运维、日志排查、安全审计里经常会遇到一种情况数据不是对象而是一行一行的纯文本。例如IIS 访问日志应用程序日志WindowsUpdate.log安装部署日志批处理脚本输出日志第三方软件运行日志网络访问记录文本格式的错误报告这时候如果只靠普通字符串查找效率会比较低。而正则表达式的价值就在这里它可以帮我们从大量文本中快速识别规律、提取字段、定位异常。简单理解正则表达式就是“文本规则扫描器”它不是为了让命令更复杂而是为了让我们能从杂乱文本中抓出有价值的信息。本文以 PowerShell 实战为主重点讲清楚什么时候该用正则表达式-match和$matches怎么用Select-String如何搜索日志文件如何提取 IPv4、IIS 40x、事件日志关键字段常见易错点与实战优化建议2. 正则表达式适合处理什么场景先给结论当输入内容是“纯文本”而不是 PowerShell 对象时就可以考虑使用正则表达式。例如下面这种日志内容2026-05-01 10:12:01 192.168.1.10 GET /index.html 200 2026-05-01 10:13:22 192.168.1.15 GET /admin 403 2026-05-01 10:14:33 192.168.1.20 GET /old-page 404如果我要找出所有40x状态码普通字符串匹配也能做但不够灵活。使用正则表达式可以直接写成\s40[0-9]\s这表示\s匹配空白40[0-9]匹配 400 到 409\s后面继续跟一个空白这类规则非常适合日志分析。2.1 正则表达式不适合什么场景虽然正则很好用但不是所有问题都应该上正则。如果 PowerShell 已经返回结构化对象优先使用对象属性筛选不要强行把对象转成字符串再正则匹配。例如Get-Process|Where-Object{$_.Company-likeMicrosoft*}这种写法比下面这种更清晰Get-Process|Out-String|Select-StringMicrosoft因为第一种是在对象层面筛选第二种是把对象变成文本后再匹配后续处理能力会明显下降。3. 正则表达式基础语法速览学习正则表达式不建议一开始背完整语法表。对 PowerShell 运维场景来说先掌握下面几类就够用了。3.1 常用字符类写法含义示例\w字母、数字、下划线匹配用户名、主机名片段\W非字母、数字、下划线匹配特殊分隔符\d数字匹配端口、状态码、IP 段\D非数字排除数字\s空白字符匹配空格、Tab\S非空白字符匹配连续文本.任意单个字符模糊匹配任意字符[abc]匹配集合中的任意一个字符匹配 a/b/c[^abc]不匹配集合中的字符排除 a/b/c[a-z]匹配范围匹配小写字母3.2 常用量词写法含义?0 次或 1 次*0 次到多次1 次到多次{n}恰好 n 次{n,}至少 n 次{n,m}n 到 m 次例如\d{1,3}表示匹配1 到 3 位数字经常用于 IPv4 地址的每一段。3.3 常用锚点与转义写法含义^行首$行尾\.匹配真正的点号\\匹配反斜杠例如 IPv4 的宽松匹配可以写成\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}注意这里的\.不是任意字符而是匹配真正的英文句号。4. PowerShell 中的两大利器-match 与 Select-StringPowerShell 里常用正则主要离不开两个工具工具适合场景返回结果-match判断字符串是否匹配顺便提取内容布尔值 $matchesSelect-String在文件、流、日志中搜索文本MatchInfo对象4.1 使用 -match 判断字符串最简单的用法don-matchd[aeiou]n返回True再看几个例子don-matchd[aeiou]n# Truedooon-matchd[aeiou]n# Truedocon-matchd[aeiou]n# False这里的核心逻辑是[aeiou]表示匹配一个元音字母表示前面的内容出现 1 次或多次所以d[aeiou]n可以匹配don、doon、dooon4.2 使用 $matches 提取捕获组-match不仅能判断还能提取内容。只要在正则里使用括号()匹配到的内容就会进入$matches。示例从文本中提取 IP 和用户名。$lineip192.168.1.10 userbobif($line-matchip(\d{1,3}(?:\.\d{1,3}){3})\suser(\w)){$ip$matches[1]$user$matches[2][PSCustomObject]{IP $ipUser $user}}输出类似IP User -- ---- 192.168.1.10 bob这里要注意$matches[0]是完整匹配结果$matches[1]是第一个捕获组$matches[2]是第二个捕获组这也是正则在日志分析里的核心价值不只是找到一行文本而是把里面的关键字段提取出来。4.3 Select-String搜索文件和日志如果目标是日志文件、文本流、目录中的多个.log文件优先使用Select-String。例如查找所有 IIS 日志中的 40x 状态码Get-ChildItem-Recurse-Filter*.log|Select-String-Pattern\s40[0-9]\s|Format-TableFilename,LineNumber,Line-Wrap这条命令会返回文件名行号匹配到的文本行这比普通文本查找更适合排障因为它能告诉你问题出现在哪个文件、哪一行。5. 常见实战场景日志分析拿来即用这一节直接给出几个运维场景中常用的模板。5.1 场景一查找 IIS 日志中的 40x 请求Get-ChildItem-Recurse-Filter*.log|Select-String\s40[0-9]\s|ForEach-Object{[PSCustomObject]{File $_.Path Line $_.LineNumber Text $_.Line}}|Export-Csv.\404_499.csv-NoTypeInformation-Encoding UTF8这段脚本适合用于排查 404 页面不存在排查 401 未授权排查 403 禁止访问批量统计 Web 访问异常执行后会生成404_499.csv可以直接用 Excel 打开分析。5.2 场景二从日志中提取 IPv4 地址Get-ChildItem-Recurse-Filter*.log|Select-String-Pattern\b(\d{1,3}(?:\.\d{1,3}){3})\b-AllMatches|ForEach-Object{foreach($min$_.Matches){[PSCustomObject]{File $_.Path Line $_.LineNumber IP $m.Groups[1].Value}}}|Sort-ObjectIP-Unique这个模板可以用于提取访问来源 IP统计日志中出现过的 IP初步排查异常访问来源配合后续 IP 归属地查询脚本继续分析注意这个 IPv4 正则属于宽松匹配它能匹配类似 999.999.999.999 这种格式但不负责严格判断 IP 是否真实有效。如果需要严格校验 IP需要额外增加范围判断。5.3 场景三查找 WindowsUpdate.log 中关键字Get-ContentC:\Windows\WindowsUpdate.log|Select-StringStart[\w\W]Agent: Installing Updates这个示例用于从 Windows 更新日志中定位安装相关记录。不同 Windows 版本的日志格式可能不同实际使用时建议先打开日志看关键字再逐步收敛正则。5.4 场景四在事件日志 Message 中做正则匹配有时候事件日志本身是对象但关键内容藏在Message字段里。这时候可以结合对象筛选与正则匹配Get-EventLog-LogName Security|Where-Object{$_.EventId-eq4624-and$_.Message-matchWIN[\w\W]TM[234][0-9]\$}这类写法适合安全审计、登录行为分析、关键字定位等场景。这里的思路是先用 EventId 做对象层过滤再对 Message 文本做正则匹配。这样比全量文本扫描更清晰也更省资源。6. -match、Select-String 与对象化处理的区别很多初学者容易混淆这三件事-matchSelect-StringWhere-Object其实它们不是互相替代而是各有分工。对象单个字符串文件/日志/多行文本输入数据数据是对象还是文本?优先使用 Where-Object使用 -match 提取或判断使用 Select-String 搜索$matches 捕获结果返回 MatchInfo保留对象结构便于二次加工转换为 PSCustomObject6.1 -match 适合什么-match更适合处理单个字符串尤其是需要配合$matches提取字段时。例如$lineuseradmin ip10.10.10.5if($line-matchuser(\w)\sip(\d{1,3}(?:\.\d{1,3}){3})){$matches[1]$matches[2]}6.2 Select-String 适合什么Select-String更像 PowerShell 里的grep适合搜索文件、目录、管道流。例如Get-ChildItemD:\Logs-Recurse-Filter*.log|Select-String-Patternerror|failed|timeout它可以告诉你哪个文件匹配第几行匹配匹配的完整文本是什么6.3 Where-Object 适合什么如果输入是对象就不要急着转成文本。例如筛选公司字段为 Microsoft 的进程Get-Process|Where-Object{$_.Company-match^Microsoft}|Select-ObjectName,Id,Company这里虽然用了-match但仍然是在对象属性上做匹配整体仍保留对象化处理思路。7. 常见易错点与避坑建议正则表达式最大的坑不是语法难而是看起来能跑但结果不一定对。7.1 坑一默认不区分大小写PowerShell 中-match默认不区分大小写。PowerShell-matchpowershell结果是True如果需要区分大小写要使用PowerShell-cmatchpowershell此时结果为False记忆方式-match默认不区分大小写-cmatchcase-sensitive区分大小写-notmatch不匹配-cnotmatch区分大小写的不匹配7.2 坑二正则建议优先使用单引号在 PowerShell 中双引号会触发变量替换。正则表达式本身又有大量反斜杠和特殊字符所以建议优先使用单引号。推荐Select-String-Pattern\d{1,3}(\.\d{1,3}){3}不推荐Select-String-Pattern\d{1,3}(\.\d{1,3}){3}除非你确实需要在正则里插入变量否则正则模式优先使用单引号。7.3 坑三贪婪匹配容易匹配过多*和默认是贪婪匹配会尽可能匹配更多内容。例如$texttitlePowerShell/titletitleRegex/title$text-matchtitle.*/title$matches[0]可能得到titlePowerShell/titletitleRegex/title如果想最短匹配可以使用$text-matchtitle.*?/title$matches[0]7.4 坑四大文件不要一次性全部读入对于很大的日志文件不建议直接Get-Content.\big.log-Raw因为-Raw会一次性把整个文件读进内存。更推荐按批处理Get-Content.\big.log-ReadCount 1000|Select-String-Patternerror|failed|timeout生产环境分析大日志时要优先考虑内存占用和执行时间避免因为日志分析脚本把机器资源打满。8. 实战练习把知识真正用起来下面几个练习非常适合巩固本章内容。8.1 练习一找出文件名中包含两位数字的文件Get-ChildItemC:\Windows|Where-Object{$_.Name-match\d{2}}这里的\d{2}表示匹配连续两位数字。8.2 练习二筛选 Microsoft 公司进程Get-Process|Where-Object{$_.Company-match^Microsoft}|Select-ObjectName,Id,Company这里的^Microsoft表示以 Microsoft 开头。8.3 练习三筛选 DNS 缓存中的 IPv4 记录Get-DnsClientCache|Where-Object{$_.Data-match^\d{1,3}(\.\d{1,3}){3}$}这里用到了^行首$行尾\d{1,3}1 到 3 位数字(\.\d{1,3}){3}后面重复 3 段点号加数字8.4 练习四提取日志中的 IP 并导出 CSVGet-ChildItem.\Logs-Recurse-Filter*.log|Select-String-Pattern\b(\d{1,3}(?:\.\d{1,3}){3})\b-AllMatches|ForEach-Object{foreach($matchin$_.Matches){[PSCustomObject]{File $_.Path Line $_.LineNumber IP $match.Groups[1].Value}}}|Export-Csv.\ip-list.csv-NoTypeInformation-Encoding UTF8执行后检查Import-Csv.\ip-list.csv|Select-Object-First 10如果能看到File、Line、IP三列说明提取成功。9. 学习路线如何真正掌握 PowerShell 正则正则表达式不建议死背。更好的方式是从实际日志入手边匹配、边验证、边收敛。9.1 我的推荐学习路径先识别场景判断对象还是文本选择 -match 或 Select-String先写最小可用正则加入锚点/分组/量词验证匹配结果输出为对象或 CSV沉淀为脚本模板9.2 建议收藏的帮助命令Get-Helpabout_Regular_ExpressionsGet-Helpabout_Comparison_OperatorsGet-HelpSelect-StringGet-Helpabout_Automatic_Variables其中最关键的是Get-Helpabout_Regular_Expressions它是 PowerShell 内置的正则表达式帮助文档。9.3 高级脚本中的 ValidatePattern正则不只可以用于日志分析还可以用于参数校验。例如在高级脚本中要求输入必须像 IPv4param([ValidatePattern(^\d{1,3}(\.\d{1,3}){3}$)][string]$IPAddress)这样用户传入参数时如果格式不符合就会直接报错。这类写法非常适合企业运维脚本能把错误输入拦在脚本入口而不是等脚本跑到一半才失败。10. 总结正则是文本排障的“最后精确工具”本文围绕 PowerShell 中的正则表达式重点讲了 5 件事什么时候该用正则当输入是纯文本、日志、字符串时。怎么判断与提取用-match配合$matches。怎么搜索日志文件用Select-String返回文件名、行号、匹配行。怎么做对象化输出将匹配结果转换为[PSCustomObject]再导出 CSV。怎么避坑注意大小写、引号、贪婪匹配、大文件性能问题。最后我自己的理解是PowerShell 的第一优先级永远是对象化处理只有当数据退化为纯文本时正则表达式才是最值得使用的精确工具。不要为了炫技写复杂正则。能对象化就对象化必须解析文本时再用正则逐步收敛。如果把它放到企业桌面运维和日志排查场景里正则表达式最适合沉淀为日志关键字扫描脚本异常 IP 提取脚本IIS 40x/50x 统计脚本安装部署日志分析模板Windows 更新日志定位模板安全事件 Message 字段提取模板正则不是为了让脚本变难而是为了让文本问题变得可定位、可提取、可复盘。 返回顶部点击回到顶部