如何用Python正则提取字符串中的IP地址？

一、基础：从日志文件中提取IP地址的入门方法

在处理服务器日志或网络日志时，提取IP地址是一项常见任务。Python的re模块提供了正则表达式支持，可以高效完成这一任务。

最基础的IPv4地址匹配正则表达式如下：

r'\b(?:[0-9]{1,3}\.){3}[0-9]{1,3}\b'

该表达式使用了非捕获组(?:...)和重复量词{3}来匹配类似192.168.1.1的格式。但该表达式的问题在于它也会匹配非法IP地址，如999.999.999.999。

因此，我们需要更精确的正则表达式来确保每个IP段在0-255之间。

二、进阶：编写精确匹配IPv4地址的正则表达式

为了确保每个IP段在0-255之间，我们可以使用正则表达式的条件匹配机制。以下是精确匹配IPv4地址的正则表达式：

r'\b(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b'
  

该表达式对每个IP段进行严格匹配，确保其范围在0到255之间。

在Python中使用方式如下：

import re

log_line = "User login from 192.168.1.1 and failed attempt from 999.999.999.999"
pattern = r'\b(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b'

matches = re.findall(pattern, log_line)
print(matches)  # 输出 ['192.168.1.1']
  

三、优化：提升正则表达式性能与适用性

虽然上述正则表达式可以精确匹配IPv4地址，但在处理大量日志时，性能可能成为瓶颈。以下是一些优化建议：

• 使用编译后的正则表达式对象，避免重复编译
• 避免使用过多的捕获组，除非需要提取子串
• 使用re.finditer代替re.findall，减少内存占用

优化后的代码示例：

import re

pattern = re.compile(r'\b(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b')

with open('server.log', 'r') as f:
    for line in f:
        for match in pattern.finditer(line):
            print(match.group())
  

四、扩展：是否应考虑IPv6地址的提取？

随着IPv6的普及，越来越多的日志文件中可能包含IPv6地址。因此，在设计正则表达式时，应考虑是否需要同时提取IPv6地址。

IPv6地址格式复杂，常见的有：

• 2001:0db8:85a3:0000:0000:8a2e:0370:7334
• 2001:db8:85a3::8a2e:370:7334（缩写格式）

一个匹配IPv6地址的正则表达式如下：

r'\b(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}\b|\b(?:[0-9a-fA-F]{1,4}:){1,7}:\b|\b(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}\b'
  

可以将IPv4和IPv6的正则表达式合并为一个复合正则表达式：

ipv4_pattern = r'(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)'
ipv6_pattern = r'(?:[0-9a-fA-F]{1,4}:){7}[0-9a-fA-F]{1,4}|(?:[0-9a-fA-F]{1,4}:){1,7}:|(?:[0-9a-fA-F]{1,4}:){1,6}:[0-9a-fA-F]{1,4}'

ip_pattern = re.compile(rf'\b(?:{ipv4_pattern}|{ipv6_pattern})\b')
  

五、实战：处理多种日志格式与边界问题

日志文件格式多样，可能存在如下问题：

• IP地址前后有其他数字，如192.168.1.100abc
• 日志中混合了其他信息，如时间戳、用户代理等
• IP地址被包裹在引号、括号中

解决方法包括：

1. 使用单词边界\b确保匹配完整的IP地址
2. 使用正向和负向预查（lookahead/lookbehind）处理特定格式
3. 结合split、strip等文本处理函数进行预处理

例如，匹配被括号包裹的IP地址：

pattern = re.compile(r'$$(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$$')
  

六、流程图：IP地址提取的整体流程

以下是IP地址提取的整体流程图：

```mermaid
graph TD
A[读取日志文件] --> B[预处理日志行]
B --> C[编译正则表达式]
C --> D[匹配IP地址]
D --> E{是否IPv6?}
E -->|是| F[提取IPv6地址]
E -->|否| G[提取IPv4地址]
F --> H[输出结果]
G --> H
```