Parser de logs de Apache

Los logs de Apache (formato combinado) tienen una estructura precisa:

127.0.0.1 - - [10/Oct/2024:13:55:36 +0000] "GET /index.html HTTP/1.1" 200 1234

Un patrón con grupos nombrados extrae cada campo en una sola pasada:

^(?<ip>\d+\.\d+\.\d+\.\d+)\s+\S+\s+\S+\s+\[[^\]]+\]\s+"(?<metodo>\w+)\s+(?<path>\S+)\s+\S+"\s+(?<status>\d+)\s+(?<size>\d+)

Parece monstruoso, pero es la concatenación de patrones simples:

• (?<ip>\d+\.\d+\.\d+\.\d+) -- el IPv4 de origen.
• \s+\S+\s+\S+ -- los IDs de usuario (normalmente -).
• \[[^\]]+\] -- la fecha entre corchetes.
• "(?<metodo>\w+)\s+(?<path>\S+)\s+\S+" -- la solicitud entre comillas, con el método HTTP, la ruta y la versión.
• (?<status>\d+)\s+(?<size>\d+) -- el código de estado y los bytes enviados.

Estrategia general

1. Empieza por la línea real y fija los delimitadores: espacios, comillas, corchetes.
2. Entre delimitadores, identifica el tipo de token (IP, palabra, número).
3. Encierra en grupos nombrados solo lo que necesites extraer.

Análisis de logs complejos

En el análisis de logs, los campos suelen estar separados por espacios, excepto cuando contienen cadenas entre comillas o corchetes (ej. el user-agent). El uso de clases de caracteres excluyentes en lugar del punto comodín evita que se fusionen varias columnas de forma incorrecta.

Pruébalo tú

Ejercicio de repaso

Desafío adicional