а зачем {"NUMBER"} окружать кавычками? токены же без кавычек идут {NUMBER}?

присмотритесь, там не NUMBER окружен кавычками

ты окружаешь кавычки

а не NUMBER

там { в кавычках

т.о. { првращается в TEXT

Релиз в паблик еще не выпускали

а так все горячо обсуждают

все равно ругается на {, даже если "{"

приведите формулу целиком

чуть-чуть терпения, уже вот-вот))

это будет страшно стыдно, но я попроую ;) готовлюсь к CP

subformula "message"
TEXT="An account was successfully logged on.  Subject:  Security ID:  ({WORD}{WORD})|{NUMBER}  Account Name:  {WORDDASH}  Account Domain:  {WORDDASH}  Logon ID:  {NUMBER}x{NUMBER}  Logon Type:   {NUMBER}  Impersonation Level:  {WORD} New Logon: Security ID:  ({WORD}\\\\{WORD})|  Account Name:  {subject.name=WORD} Account Domain:  {WORD}  Logon ID:  {NUMBER}x{NUMBER}  Logon GUID:  "{"{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}"}"  Process Information:  Process ID:  {NUMBER}x{NUMBER}  Process Name:  {WORDDASH}  Network Information:  Workstation Name: {WORDDASH}   Source Network Address: {src.ip=IPV4} {REST}"
endsubformula

Logon GUID:  {"{"NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER"}"}

та же ошибка

В начале и конце формулы должны быть одинарные кавычки

а в чем разница, экранировать внутрение или внешние скобки?

судя по туториалу - двойные

в основной формуле двойные без проблем зашли

просто исправь на одинарные