我想只看到Process cmd.exe。
示例:
New Process Name: C:\Windows\System32\cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`
Grok过滤器:
New Process Name: %{GREEDYDATA}\\%{GREEDYDATA:Process}
输出:
{
"Process": [
[
"cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`"
]
]
}
我如何才能看到cmd.exe而不是Token Elevation类型:%% 1938创建者进程ID:0x1a0`enter?
答案 0 :(得分:0)
GREEDYDATA通常意味着“一切”。我发现它通常没有用,除非在模式结束时(作为一个全能)。
所以,你要求反斜杠之后的一切,这就是你得到的。
怎么样:
New Process Name: %{GREEDYDATA}\\%{NOTSPACE:Process}