0

我正在 splunk 中搜索特定事件代码,因此消息字段的第一部分以"A member was added to a security-enabled global group". 在那之后,它有更多的信息,出于我的目的,我不需要查看这些信息。我尝试了以下搜索,但没有得到我想要的结果。

此搜索未更改消息:

index="win_evt" EventCode=4728  | rex field=Message "(?<=A:)(?<Notes>.*)(?=.)" | table  _time, Account_Name, Group_Name, Message, EventCode, Message

此搜索完全删除了消息:

index="win_evt" EventCode=4728  | eval Message = trim(replace(Message,".*","")) | table  _time, Account_Name, Group_Name, Message, EventCode, Message

这也无济于事:

index="win_evt" EventCode=4728  | rex field=Message mode=sed "s/\..*$//" | table  _time, Account_Name, Group_Name, Message, EventCode, Message

我想要的只是| table Message显示第一行。

4

1 回答 1

0

您可能应该发布一个示例事件来帮助解释您在做什么。

假设这rex是正确的| rex field=Message "(?<=A:)(?<Notes>.*)(?=.)",这就是将提取的数据放入一个名为 的新字段中Notes。在您的table命令中,您有 fields _time, Account_Name, Group_Name, Message, EventCode, Message。我认为您应该替换MessageNotes,因此您的搜索应该是

index="win_evt" EventCode=4728 | rex field=Message "(?<=A:)(?<Notes>.*)(?=.)" | table _time, Account_Name, Group_Name, Message, EventCode, Notes

或者仅以下内容就足够了

index="win_evt" EventCode=4728 | rex field=Message "^(?<firstline>.*)" | table _time, Account_Name, Group_Name, firstline, EventCode

于 2020-01-30T22:39:27.547 回答