Grok Filter只想查看进程名称
问题描述:
我只想看到Process cmd.exe。Grok Filter只想查看进程名称
实施例:
New Process Name: C:\Windows\System32\cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`神交过滤:
New Process Name: %{GREEDYDATA}\\%{GREEDYDATA:Process}输出:
{
"Process": [
[
"cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`"
]
]
}如何我能看到只有CMD.EXE,而不是令牌升降式:%% 1938年创建者进程ID:0x1a0`enter?
答
GREEDYDATA通常表示“一切”。我发现它通常没有用处,除非在模式结束时(作为一个全部)。
所以,你要求反斜杠后的所有内容,这就是你所得到的。
如何:
New Process Name: %{GREEDYDATA}\\%{NOTSPACE:Process}