Добрый день, создал триггер для мониторинга системного журнала:
Он выдаёт полную информацию из журнала вида:
В связи с этим два вопроса:
1)Как исключить показ собитый, где имя объекта содержит расширение .tmp и которые начинаются на ~$ (очень много мусора от временных файлов), пробывал добавлять &{server:eventlog[Security,,,,4663,,].str(.tmp)}=0, но все равно показывает.
2)Как убрать всю лишнюю информацию из вывода и допустим оставить только Имя учетной записи и имя объекта.
Спасибо.
Code:
{server:eventlog[Security,,,,4663,,].logeventid(4663)}=1
Code:
Выполнена попытка получения доступа к объекту. Субъект: ИД безопасности: S-1-5-21-1704323768-1580658891-4316954317-3122 Имя учетной записи: user Домен учетной записи: DOMAIN Код входа: 0x2768cb Объект: Сервер объекта: Security Тип объекта: File Имя объекта: D:\1.DOC Код дескриптора: 0x678 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о запросе на доступ: Операции доступа: DELETE Маска доступа: 0x10000
1)Как исключить показ собитый, где имя объекта содержит расширение .tmp и которые начинаются на ~$ (очень много мусора от временных файлов), пробывал добавлять &{server:eventlog[Security,,,,4663,,].str(.tmp)}=0, но все равно показывает.
2)Как убрать всю лишнюю информацию из вывода и допустим оставить только Имя учетной записи и имя объекта.
Спасибо.
Comment