我有一个日志文件,我需要从中处理和提取数据。每行包含一个事件日志输出字符串。不幸的是,字符串的各个部分没有统一格式。以下是一些示例行:
"Some random length string. 0x8dda46 0x1 0x384 C:\Program Files (x86)\some\path\foo0.exe "
"Some random leeeength string. 0xa95ac2 0x8cc C:\Program Files (x86)\some\path\foo1.exe %%1936 0xcc0 "
"Some random leength string. 0xbcd668 0x330 C:\Program Files (x86)\some\path\foo2.exe %%1936 0xf38 "
"Some random leeeeeeeength string. 0xbcd668 0x1 0x330 C:\Program Files (x86)\some\path\foo2.exe "
"Some random leeength string. 0x352c44 0xfc0 C:\Program Files (x86)\some\path\foo3.exe %%1936 0x92c "
"Some random leeeeength string. 0xa95ac2 0x0 0x8cc C:\Program Files (x86)\some\path\foo1.exe "
"Some random leength string. 0x352c44 0x0 0xfc0 C:\Program Files (x86)\some\path\foo3.exe "
我需要提取没有完整路径的“foo.exe”文件名和“C:\Progra...”(它是进程 ID)之前的十六进制值
所以我希望输出是:
0x384 foo0.exe
0x8cc foo1.exe
0x330 foo2.exe
0x330 foo2.exe
0xfc0 foo3.exe
0x8cc foo1.exe
0xfc0 foo3.exe
我正在尝试通过尽可能少的“硬编码”搜索/替换来实现目标,因为字符串的许多部分不会具有相同的内容或相同的长度。我尝试使用 FOR/F 来拆分字符串,但我无法找到这两列,因为它们总是在变化。唯一不变的是“C:\Program Files (x86)”部分。 (加上FOR有52个变量限制)
我写了一些棘手的批处理文件,但我开始觉得我对 DOS 的要求太多了;-)
在此先感谢您的帮助!
最佳答案
@ECHO OFF
SETLOCAL
FOR /f "tokens=1*delims=." %%a IN (q28333414.txt) DO (
FOR /f "tokens=1*delims=:" %%c IN ("%%~b") DO CALL :process %%c&CALL :report "%%d
)
GOTO :EOF
:process
SET hexval=%~3
IF DEFINED hexval shift&GOTO process
SET "hexval=%~1"
SET "drive=%~2:"
GOTO :eof
:report
SET "line=%drive%%~1"
SET "line="%line:.exe=.exe"%"
FOR %%r IN (%line%) DO ECHO %hexval% %%~nxr&GOTO :eof
我使用了一个名为 q28333414.txt
的文件,其中包含您的数据用于我的测试。
第一个过程简单地丢弃了 .
和 :
之间的每个(以空格分隔的)参数,直到正好剩下两个 - 所需的 hexval
和盘符。
report
进程重新附加驱动器盘符并将其和 .exe
名称括在引号中。 for %%r
选择第一个字符串,去掉引号,吐出结果,一切都完成了。
编辑:固定报告以仅根据需要显示文件名和扩展名以及 dbenham 注释
突发新闻:(字面意思!)
@ECHO OFF
SETLOCAL enabledelayedexpansion
FOR /f "delims=" %%a IN (q28333414.txt) DO SET "line=%%~a"&CALL :process "!line::=" "!"
)
GOTO :EOF
:process
SET "hexval=%~3"
IF DEFINED hexval shift&GOTO process
CALL :lastbar1 %%~1
SET "filename=%~2"
SET filename="c:%filename:.exe =.exe" %
FOR %%r IN (%filename%) DO ECHO %hexval% %%~nxr&GOTO :eof
GOTO :eof
:lastbar1
SET "hexval=%~3"
IF DEFINED hexval shift&GOTO lastbar1
SET "hexval=%~1"
GOTO :eof
好的 - 那么让我们试试这个。
对于每一行,用 ""
替换所有邪恶的冒号,并将生成的带引号的字符串序列传递给子例程。
移动参数直到只有 2 个,这将是最后一个倒计时前后的字符串 - 呃,冒号。
对第一个参数重复该过程。倒数第二个值是所需的 hexval。
使用第二个参数,在任何 .exe
之前和之后添加 "c:
和 "
,因此结果是一个带引号的完整文件名和浮渣;吐出 hexval
和文件名并完成...
在“&
”注释的相当暗淡的光线下进行小修改 - 著名的 set "var=whatever"
公式因 &
而失败包含在这种情况下(如在子目录“Documents & Settings”中),因此可以删除封闭的引号,因为尾随空格不相关。知道触发问题的测试数据是什么会很有用 - 减少猜测。
关于regex - 使用 DOS/批处理以随机长度拆分字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28333414/