我正在杂乱地搜索特定的事件代码,消息字段的第一部分以“成员已添加到启用了安全性的全局组中”开头。之后,它具有大量更多信息,对于我而言,我不需要查看这些信息。我尝试了以下搜索,但是没有得到想要的结果。此搜索未更改邮件。
index="win_evt" EventCode=4728 | rex field=Message "(?<=A:)(?<Notes>.*)(?=.)" | table _time, Account_Name, Group_Name, Message, EventCode, Message
此搜索已完全删除邮件
index="win_evt" EventCode=4728 | eval Message = trim(replace(Message,".*","")) | table _time, Account_Name, Group_Name, Message, EventCode, Message
这也没有作用
index="win_evt" EventCode=4728 | rex field=Message mode=sed "s/\..*$//" | table _time, Account_Name, Group_Name, Message, EventCode, Message
我只想要|表消息显示的是第一行,请帮助。
您可能应该发布一个示例事件以帮助解释您在做什么。
假设此rex是正确的| rex field=Message "(?<=A:)(?<Notes>.*)(?=.)",这会将提取的数据放入一个名为Notes的新字段中。在table命令中,具有字段_time, Account_Name, Group_Name, Message, EventCode, Message。我认为您应该将Message替换为Notes,因此您的搜索应该是
index="win_evt" EventCode=4728 | rex field=Message "(?<=A:)(?<Notes>.*)(?=.)" | table _time, Account_Name, Group_Name, Message, EventCode, Notes
或者仅以下内容就足够了
index="win_evt" EventCode=4728 | rex field=Message "^(?<firstline>.*)" | table _time, Account_Name, Group_Name, firstline, EventCode