Это неточно, не было времени пока закономерность выяснять, но то что через какое-то время все встаёт в дефолт, факт

при обновлении. при перезагрузках такого поведения не замечено

ну, при обновлении не так уж страшно...

ну только если заказчик не решит обновиться сам и не узнает, как у него всё плохо

Согласен, спасибо @Teh_VarMaster за инфу

У нас регулярно автоматом стартуют правила корреляции дефолтные которые нам не нужны на данный момент и мы их выключаем... при этом никаких ребутов не делаем.

Ну в общем управление параметрами Watchdog это вещь очень нужная и неплохо было бы эти параметры и способы управления ими где-то рассмотреть

такое поведение наблюдали тоже только после обновлений... к слову, позитив обещал поправить в 19.1

может баг завести?

заведен :)

и чего ответил техпод?

просто на случай, если встретимся с такой балалайкой у заказчика

вы не одиноки ) информация передана в разработку...

UPD: после ребута настройки не слетели, все норм (ну так, на всякий случай проверил)

Поправил начало формулы, чтоб матчинг искался, и снова вернулся к той же ошибке с {

TEXT='An account was successfully logged on.  Subject:  Security ID:  {WORD|NUMBER} {WORD|}  Account Name:    {WORD|"-"}  Account Domain:  {WORD|"-"}  Logon ID:  {NUMBER}x{NUMBER}  Logon Type:   {NUMBER}  Impersonation Level:  {WORD} New Logon: Security ID:  {WORD"\\"WORD}|  Account Name:  {subject.name=WORD} Account Domain:  {WORD}  Logon ID:  {NUMBER}x{NUMBER}  Logon GUID:  {"{"NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER"}"}  Process Information:  Process ID:  {NUMBER}x{NUMBER}  Process Name:  {WORDDASH}  Network Information:  Workstation Name: {WORDDASH}   Source Network Address: {src.ip=IPV4} {REST}'

{"{"NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER"}"} - здесь написано что-то странное

{"{"NUMBER"-"NUMBER"-"NUMBER"-"NUMBER"-"NUMBER"}"}

хотя нет....

в предыдущем варианте тоже должно работать