有人知道reqex语法从Windows事件日志中过滤第二个帐户名称吗?我不想要第一个帐户名,我得到了但提到的第二个帐户名是被删除的帐户,这是我想知道的。
我可以拉两个帐户,但我真的只想要第二个帐户
的例子:
<13>May 23 15:11:00 14.5.15.1 AgentDevice=WindowsLog AgentLogFile=Security Source=Microsoft-Windows-Security-Auditing Computer=john.doe User= Domain= EventID=4726 EventIDCode=4726 EventType=8 EventCategory=13824 RecordNumber=4156926121 TimeGenerated=1472042299838 TimeWritten=1472048832838 Message=A user account was deleted. Subject: Security ID: S-1-5-21-37618230-746332178-285459281-20341 Account Name: AdminGuy Account Domain: Some Logon ID: 0x2q45w29b1 Target Account: Security ID: S-1-5-21-37438650-746321018-288529281-12311 Account Name: JohnDoe Account Domain: Some Additional Information: Privileges -
sAccountsName:s(.*?)
这只是一个例子,将拉两个帐户名称。但是,有人知道如何提取只有第二个帐户名称吗?
在上面的例子中,第二个帐户名称将是帐户名称:
JohnDoe
模式如下:
(?ms)Accounts+Name.*?(Accounts+Name:s+)(w+)
但是您需要收集捕获括号。在这个正则表达式中,帐户名在组号中。2. 您使用的语言/库为您提供了一种访问捕获括号捕获文本的方法。
也许可以这样写:
sAccountsName:s.*sAccountsName:s([^s]*)
对于Graylog来说,这是合适的正则表达式:
Account Name:.*?Account Name:(s*(S*))