Grok Filter只想查看進程名稱

Question

我只想看到Process cmd.exe。

實施例：

New Process Name: C:\Windows\System32\cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`

神交過濾：

New Process Name: %{GREEDYDATA}\\%{GREEDYDATA:Process}

輸出：

{ 
 
    "Process": [ 
 
    [ 
 
     "cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`" 
 
    ] 
 
    ] 
 
}

如何我能看到只有CMD.EXE，而不是令牌升降式：%% 1938年創建者進程ID：0x1a0`enter？

Answer 1

GREEDYDATA通常表示「一切」。我發現它通常沒有用處，除非在模式結束時（作爲一個全部）。

所以，你要求反斜槓後的所有內容，這就是你所得到的。

如何：

New Process Name: %{GREEDYDATA}\\%{NOTSPACE:Process}