我正在提取以 Windows LogonIDs 结尾的事件......这意味着:
Special Privileges assigned to a new Logon: Logon Id: 0x007d
我认为这是最好的方法:
^(?<event>.+)(?<=ID:\s\d+x[A-F\d]+)$
使用RegexOptions.RightToLeft从字符串的末尾开始搜索。
使用lookbehind所以如果{ID: LogonId} 不存在,它将尽快失败。
由于我找不到任何好的从右到左测试仪,所以我在这里寻求您的帮助。