Добрый день.
Есть данные собираемые из логов Windows, например eventId 4720 - создание учетной записи пользователя. В самом событии содержится множество полей, которые интересно обрабатывать, например имя пользователя, который создавал УЗ и имя созданной УЗ:
Вопрос: Есть ли возможность на уровне триггера доставать из текста необходимые поля, для обработки события? Если есть то как?
Есть данные собираемые из логов Windows, например eventId 4720 - создание учетной записи пользователя. В самом событии содержится множество полей, которые интересно обрабатывать, например имя пользователя, который создавал УЗ и имя созданной УЗ:
Создана учетная запись пользователя.
Субъект:
Идентификатор безопасности: S-1-5-21-4188026697-141091879-xxxxxx-5650
Имя учетной записи: admin
Домен учетной записи: DOM
Идентификатор входа: 0xF64D7B2
Новая учетная запись:
Идентификатор безопасности: S-1-5-21-3918543559-2280054071-xxxxxxxx-1015
Имя учетной записи: test
Домен учетной записи: COMP
Атрибуты:
Имя учетной записи SAM: test
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Субъект:
Идентификатор безопасности: S-1-5-21-4188026697-141091879-xxxxxx-5650
Имя учетной записи: admin
Домен учетной записи: DOM
Идентификатор входа: 0xF64D7B2
Новая учетная запись:
Идентификатор безопасности: S-1-5-21-3918543559-2280054071-xxxxxxxx-1015
Имя учетной записи: test
Домен учетной записи: COMP
Атрибуты:
Имя учетной записи SAM: test
Отображаемое имя: <значение не задано>
Основное имя пользователя: -
Домашний каталог: <значение не задано>
Comment