скрипт отрезает 2\3 сообщения

остается только # <13>Jan 22 22:39:45 host AgentDevice=WindowsLog\tAgentLogFile=Security\tPluginVersion=7.2.8.145\tSource=Microsoft-Windows-Security-Auditing\tComputer=host\tOriginatingComputer=ip\tUser=\tDomain=\tEventID=4624\tEventIDCode=4624\tEventType=8\tEventCategory=12544\tRecordNumber=153259678\tTimeGenerated=1548185958\tTimeWritten=1548185958\tLevel=Log Always\tKeywords=Audit Success\tTask=SE_ADT_LOGON_LOGON\tOpcode=Info\tMessage=

разве в него падает не все, что в body лежит? в базу же попало в таком виде? нигде не слышал о таком преобразовании

чяднт?

C:\test>python -V
Python 3.7.0

вы, судя по всему, не прочитали, но на вход подается сообщение ВМЕСТЕ С КОНВЕРТОМ. а не то, что вы накопипастили из бади

Я подал все выгрузку export_data, версия пайтона та же

В любом случае, вырезает то он боди

Что вручную, что скриптом

1 в 1 на вашем скриншоте

Собственно в обучающем видео их вручную из боди и копируют

Может, символы какие специальные в конце строки должны остаться?

вам удалось получить тело исходного события?

обрезаться перестало?

А как оно перестанет, если я ему изначально полное, в обертке передавал, как вы мне и указали. Скрипт я не правил, да и у вас же все работает. Значит у меня какая-то ошибка, но ее я не нашел

Коллеги, в каком логе можно посмотреть почему не отрабатывает правило корреляции? События точно есть, вставляю фильтр из правила(естественно заменяя == на =) в поиск и события есть, а сработок по правилу нет. В логах в programdata\...\correlator ничего путного не нашел

событие в файле в одну строчку? переводов строки нет?

Лога такого нет и представить его себе довольно сложно. Сделайте табличный список и попробуйте вставлять в него из правила - это будет эмулятор лога