Здравствуйте!
Собираю с контроллера домена события по ID "4720 - User Account Created" плюс несколько других.
В триггере указал:
Name: Event Log - User Account Created
Expression: {Template Security Event Log:eventlog[Security,,,,4720].logeventid(4720)}=1 and {Template Security Event Log:eventlog[Security,,,,4720].nodata(5m)}=0
На почту приходит уведомление - с именем триггера. В тексте письма - стандартный шаблон.
Хочу сделать так, чтобы в заголовке уведомления было указано имя созданной учетной записи, типа "Event Log - User Account Created (username@domain)", и в тексте письма - кто ее сделал.
Добавил в имя триггера - "Event Log - User Account Created ({{ITEM.VALUE}.regsub("^.* User Principal Name: ([a-zA-Z]*).*$","\1")})", но, конечно же ничего не произошло
Подскажите, пожалуйста, как все правильно сделать?
Вот лог события:
4720
A user account was created.
Subject:
Security ID: S-1-2-34-567890123-4657890123-45678901234-5678
Account Name: admin_username
Account Domain: DOMAIN
Logon ID: 0x12345678
New Account:
Security ID: S-1-2-34-567890123-4657890123-45678901234-5679
Account Name: TestUser1
Account Domain: DOMAIN
Attributes:
SAM Account Name: TestUser1
Display Name: TestUser1
User Principal Name: TestUser1@DOMAIN
Home Directory: -
Home Drive: -
Script Path: -
Profile Path: -
User Workstations: -
Password Last Set: <never>
Account Expires: <never>
Primary Group ID: 513
Allowed To Delegate To: -
Old UAC Value: 0x0
New UAC Value: 0x15
User Account Control:
Account Disabled
'Password Not Required' - Enabled
'Normal Account' - Enabled
User Parameters: -
SID History: -
Logon Hours: <value not set>
Additional Information:
Privileges -
Собираю с контроллера домена события по ID "4720 - User Account Created" плюс несколько других.
В триггере указал:
Name: Event Log - User Account Created
Expression: {Template Security Event Log:eventlog[Security,,,,4720].logeventid(4720)}=1 and {Template Security Event Log:eventlog[Security,,,,4720].nodata(5m)}=0
На почту приходит уведомление - с именем триггера. В тексте письма - стандартный шаблон.
Хочу сделать так, чтобы в заголовке уведомления было указано имя созданной учетной записи, типа "Event Log - User Account Created (username@domain)", и в тексте письма - кто ее сделал.
Добавил в имя триггера - "Event Log - User Account Created ({{ITEM.VALUE}.regsub("^.* User Principal Name: ([a-zA-Z]*).*$","\1")})", но, конечно же ничего не произошло
Подскажите, пожалуйста, как все правильно сделать?
Вот лог события:
4720
A user account was created.
Subject:
Security ID: S-1-2-34-567890123-4657890123-45678901234-5678
Account Name: admin_username
Account Domain: DOMAIN
Logon ID: 0x12345678
New Account:
Security ID: S-1-2-34-567890123-4657890123-45678901234-5679
Account Name: TestUser1
Account Domain: DOMAIN
Attributes:
SAM Account Name: TestUser1
Display Name: TestUser1
User Principal Name: TestUser1@DOMAIN
Home Directory: -
Home Drive: -
Script Path: -
Profile Path: -
User Workstations: -
Password Last Set: <never>
Account Expires: <never>
Primary Group ID: 513
Allowed To Delegate To: -
Old UAC Value: 0x0
New UAC Value: 0x15
User Account Control:
Account Disabled
'Password Not Required' - Enabled
'Normal Account' - Enabled
User Parameters: -
SID History: -
Logon Hours: <value not set>
Additional Information:
Privileges -
Comment