A
пока в любом случае ругается на символ { , экранированный как "{"
Size: a a a
2019 January 23
K
а вот табуляция...
К
А что есть пробел в их понимании? а табуляция? конец строки?
конец строки - нет, насчет табуляции не помню
c
пока в любом случае ругается на символ { , экранированный как "{"
Почему Logon GUID: {"{"NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER"}"}, а не Logon GUID: "{"{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}"}" ?
K
да, тот же вопрос интересует
A
Потому что
A
Переслано от Кац
Logon GUID: {"{"NUMBER}-{NUMBER}-{NUMBER}-{NUMBER}-{NUMBER"}"}
c
Ну этого мало
A
Я сам так и не понял, попробовал оба варианта в любом случае
К
потому что вхождение строки в формулу не нужно выделять дополнительно - парсер при вашем синтаксисе будет искать вхождение в исходном событии подстроки "{"
К
а не подстроки {
c
ээ?
A
Убрал все "" из этой части, вообще пишет Syntax error и никаких комментариев
K
# <13>Jan 22 22:39:45 host AgentDevice=WindowsLog\tAgentLogFile=Security\tPluginVersion=7.2.8.145\tSource=Microsoft-Windows-Security-Auditing\tComputer=host\tOriginatingComputer=ip\tUser=\tDomain=\tEventID=4624\tEventIDCode=4624\tEventType=8\tEventCategory=12544\tRecordNumber=153259678\tTimeGenerated=1548185958\tTimeWritten=1548185958\tLevel=Log Always\tKeywords=Audit Success\tTask=SE_ADT_LOGON_LOGON\tOpcode=Info\tMessage=An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Impersonation Level: Impersonation New Logon: Security ID: user Account Name: user Account Domain: domain Logon ID: 0x99E6818F0 Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: host2 Source Network Address: ip2 Source Port: 57929 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V2 Key Length: 128 This event is generated when a logon session is created. It is generated on the computer that was accessed. The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases. The impersonation level field indicates the extent to which a process in the logon session can impersonate. The authentication information fields provide detailed information about this specific logon request. - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event. - Transited services indicate which intermediate services have participated in this logon request. - Package name indicates which sub-protocol was used among the NTLM protocols. - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
нас интересует парс чисто MESSAGE?
К
TEXT='An account was successfully logged on. Subject: Security ID: {WORD|NUMBER} {WORD|} Account Name: {WORD|"-"} Account Domain: {WORD|"-"} Logon ID: {NUMBER}x{NUMBER} Logon Type: {NUMBER} Impersonation Level: {WORD} New Logon: Security ID: {WORD"\\\\"WORD} Account Name: {subject.name=WORD} Account Domain: {WORD} Logon ID: {NUMBER}x{NUMBER} Logon GUID: {"{"NUMBER"-"NUMBER"-"NUMBER"-"NUMBER"-"NUMBER"}"} Process Information: Process ID: {NUMBER}x{NUMBER} Process Name: {WORDDASH} Network Information: Workstation Name: {WORDDASH} Source Network Address: {src.ip=IPV4} {REST}'
К
Logon GUID: {UNTIL("}")} - или так
A
все равно ругается на {
К
все равно ругается на {
в чем?
A
в первом случае на открывающую, во втором, с until, на закрывающую
К
странно, у меня данная формула компилируется нормально, хоть и не разбирает данное сообщение