sed/awk: substitui os números em uma linha após a última ocorrência de '.'

Com perl:

perl -pe 's/\s\S+\.\K\d+/sprintf "%x", $&/ge' < your-file

Que procura palavras que consistem em um espaço em branco ( \s) seguido por uma sequência de um ou mais ( +) não-espaço em branco ( \S), um ponto e uma sequência de um ou mais dígitos ( \d+) e substitui a parte final (cujo início é marcado com \K) com o mesmo ( $&) formatado em he xadecimal ( globalmente, sendo a substituição eavaliada como código perl).

Com qualquer awk em qualquer shell em cada caixa UNIX:

$ cat tst.awk
function mkPortHex(fldNr,       port, sfx) {
    port = sfx = $fldNr
    sub(/.*\./,"",port)
    sub(/.*[0-9]/,"",sfx)
    sub(/[^.]+$/,sprintf("%x%s",port,sfx),$fldNr)
}
{
    mkPortHex(3)
    mkPortHex(5)
    print
}

$ awk -f tst.awk file
07:36:03.848461 IP 172.17.3.41.814d > 172.17.3.43.4400: UDP, length 44
07:36:03.848463 IP 172.17.3.42.814d > 172.17.3.43.4401: UDP, length 44
07:36:03.848467 IP SYSTEM-A.814d > 172.17.3.43.440a: UDP, length 45
07:36:03.848467 IP SYSTEM-B.814d > 172.17.3.43.440b: UDP, length 45

Com GNU awk para o 3º argumento para combinar():

$ cat tst.awk
function mkPortHex(fldNr) {
    match($fldNr,/(.*\.)([0-9]+)(:?)/,a)
    $fldNr = a[1] sprintf("%x",a[2]) a[3]
}
{
    mkPortHex(3)
    mkPortHex(5)
    print
}

$ awk -f tst.awk file
07:36:03.848461 IP 172.17.3.41.814d > 172.17.3.43.4400: UDP, length 44
07:36:03.848463 IP 172.17.3.42.814d > 172.17.3.43.4401: UDP, length 44
07:36:03.848467 IP SYSTEM-A.814d > 172.17.3.43.440a: UDP, length 45
07:36:03.848467 IP SYSTEM-B.814d > 172.17.3.43.440b: UDP, length 45

Se os números dos campos forem constantes - como nos campos 3 e 5 da sua pergunta - tente

awk '
function CHX(FLD)   {n = split ($FLD, T, ".")
                     sub (T[n] "$", sprintf ("%X", T[n]), $FLD)
                    }
    {CHX(3)
     CHX(5)
    }
1
' file
07:36:03.848461 IP 172.17.3.41.814D > 172.17.3.43.4400 UDP, length 44
07:36:03.848463 IP 172.17.3.42.814D > 172.17.3.43.4401 UDP, length 44
07:36:03.848467 IP SYSTEM-A.814D > 172.17.3.43.440A UDP, length 45
07:36:03.848467 IP SYSTEM-B.814D > 172.17.3.43.440B UDP, length 45

Por exemplo, dois pontos à direita no campo 5:

awk '
function CHX(FLD)       {n = split ($FLD, T, "[^0-9]")
                         TRM = ""
                         if (!T[n])     {n--
                                         TRM = substr ($FLD, length($FLD))
                                        }
                         sub (T[n] TRM "$", sprintf ("%X%s", T[n], TRM), $FLD)
                        }
        {CHX(3)
         CHX(5)
        }
1
' file

Primeiro deve-se perguntar se isso é sensato, tendo 172.17.3.43.440aonde os primeiros 4 campos separados por período são decimais e o quinto é hexadecimal parece estranho. No entanto, vamos supor que o OP tenha boas razões.

O OP nos deu alguns dados de exemplo e a saída desejada, isso é muito útil.

O OP nos mostra o echo 33101 | sed -e 's/.*://' | xargs printf "%x\n"que nos dá algumas dicas sobre seus processos de pensamento. Isso me diz que eles estão no caminho errado. Eles querem quebrar a linha de alguma forma (usando awkou sedcom base nas tags), usar printfpara convertê-la em hexadecimal e depois remontar a linha. Repita para cada linha. Embora obviamente isso possa funcionar, é muito lento. Os processos Unix e Linux são baratos, mas não gratuitos. Essa abordagem usará muitos processos por linha, e pode-se esperar que uma saída de fluxo tcpdump tenha muitas centenas de linhas. É desejável fazer a alteração usando apenas alguns processos por arquivo para que isso tenha velocidade razoável, se possível.

Então vamos para a escolha da ferramenta. As tags sugerem sede awk. eu rejeitaria sed. É turing complete(assumindo uma quantidade infinita de memória) e, portanto, pode fazer qualquer coisa que possa ser feita em qualquer outra linguagem, mas isso não significa dizer que será fácil ou legível. Se eu estivesse fazendo isso, provavelmente usaria perlou python, mas awké perfeitamente razoável, então vamos usar isso.

awkprogramas percorrem as linhas sozinhos, então este é um bom começo. O OP fala sobre o third column, mas olhando para a saída desejada, eles também querem o quinto. Eles não querem os milissegundos na primeira coluna convertidos em hexadecimal, embora isso também seja um número after last occurrence of '.'. Portanto, há uma escolha a ser feita, fazemos um loop sobre cada uma das colunas (chamadas "campos" em awk) após a primeira ou apenas fazemos a terceira e a quinta? Qualquer um funcionaria. Vamos pegar o caso geral e fazer todas as colunas. Isso nos dá

    for(f=2;f<NF;f++){
       # do something with field f
    }

Agora precisamos ver se o campo corresponde a um .seguido de um número e depois um opcional :(assim convertemos o 5º campo nos dados originais). Isso pode ser feito com uma expressão regular, uma das ideias poderosas que o Unix popularizou.

    for(f=2;f<NF;f++){
       if ($f ~ /\.[0-9][0-9]*:?$/) {
           # this field needs to be converted
       }
    }

Então agora para fazer a conversão. Use matchpara quebrar o padrão e sprintf para colocá-lo de volta, para obter o programa final

#!/usr/bin/awk -f
{
   for(f=2;f<NF;f++){
       if ($f ~ /\.[0-9][0-9]*:?$/) {
           match($f,/^(.*\.)([0-9][0-9]*)(:?)$/,a)
           $f=sprintf("%s%x%s",a[1],a[2],a[3])
       }
    }
    print
}

Obrigado a todos por suas respostas! Todos funcionam! No entanto, gostaria de postar minha solução aqui também. Agora eu sei que pedi especificamente sede awkpor isso, mas minha entrada é um tcpdumpfluxo e eu queria modificar os números de porta para hexadecimal. Então eu passei pelo código-fonte e alterei as seguintes linhas:

(void)snprintf(buf, sizeof(buf), "%u", i);

para

(void)snprintf(buf, sizeof(buf), "%x", i); // prints hexadecimal

(void)snprintf(buf, sizeof(buf), "%u", i);

para

(void)snprintf(buf, sizeof(buf), "%x", i); // prints hexadecimal

Compilou o binário e agora o tcpdump imprime as portas em hexadecimal.