我是新手写的这个表达式,我一直在学习http://www.regular-expressions.info/,有一些教程和搜索其他一些。似乎我无法做对。
我正在尝试编写正则表达式以从Windows事件查看器捕获特定日志。
例如,我想捕获所有事件4710,但我想排除某些用户创建的事件并包含计算机名称。
(?:4732\s+Windowslog.*\b(?!([A-Z0-9\-]+\$,))(?i)(?!user1)(?!user2)(?!user3)
根据要求添加一些信息。以下是事件4732的一般示例。
已将成员添加到启用安全性的本地组。
Subject:
Security ID: WIN-R9H529RIO4Y\Administrator
Account Name: Administrator
Account Domain: WIN-R9H529RIO4Y
Logon ID: 0x1fd23
Member:
Security ID: WIN-R9H529RIO4Y\bob
Account Name: -
Group:
Security ID: BUILTIN\Users
Group Name: Users
Group Domain: Builtin
Additional Information:
Privileges: -