针对

Thu Jan 24 16:16:16 2017 TCP from 192.168.2.128:8900 to 61.168.222.29:49471 66 bytes,

进行处理，把最后一个冒号删掉

sed -r 's/:([^:]+$)/ \1/'

用了-r，是使用正则表达式

s是替换

[^:]+$   $是从行末开始，[^:]不是：符号，+是表示多次

（）  里的内容进入临时变量，以供后面的\1调用，其实是\(.\)，不过用了-r，就不要\

前面的：替换成空格，\1调用了最后的冒号隔离出来的部分

还有更加简单的方法

sed 's/:/ /4'

最后的4就是代表第几个，这个用法以前完全没见过

用awk业可以实现

awk '{print gensub(":([^:]+$)"," \\1",1,$0)}'

看一下简单的例子，用-r和不用的差别

echo "aaa bbb "|sed -r 's/(.)/C/'

Caa bbb

echo "aaa bbb "|sed 's/(.)/C/'

aaa bbb

echo "aaa bbb "|sed 's/\(.\)/C/'

Caa bbb

echo "bbs1234567890" | sed 's/[a-z]\{3\}//'

1234567890

echo "bbs1234567890" | sed -r 's/[a-z]{3}//'

1234567890