NxLog's 'и' Logic

В настоящее время у меня работает NxLog на различных контроллерах домена, извлекающих события входа / выхода.

Exec if $TargetUserName =~ /(\S+\$|user1|user2|user3|user4)/ drop(); \
     else if ($EventID == 4624 or $EventID == 4625 or $EventID == 4648 or $EventID == 4768) $raw_event = "Time:" + $EventTime + ", EventID:" + $EventID + ", Keyword:" + $Status + ", LogonType:" + $LogonType + ", User:" + $TargetDomainName + "\\" + $TargetUserName + ", IPAddr:" + $IPAddress; \
     else if $raw_event =~ /^(.+)(Detailed Authentication Information:|Additional Information:)/ $raw_event = $1; if $raw_event =~ s/\t/  /g {}

Хотя приведенная выше конфигурация работает нормально, в то время как она игнорирует имена пользователей с $ в нем, а также те, которые я указал, я хочу игнорировать только событие с идентификатором 4624 с этими именами в нем, чтобы я все еще мог видеть неудачные входы в систему. Я думал, что следующий конфиг будет работать, но я получаю ошибки синтаксиса.

Exec if ($EventID == 4624 and $TargetUserName =~ /(\S+\$|user1|user2|user3|user4)/ drop(); \
     else if ($EventID == 4624 or $EventID == 4625 or $EventID == 4648 or $EventID == 4768) $raw_event = "Time:" + $EventTime + ", EventID:" + $EventID + ", Keyword:" + $Status + ", LogonType:" + $LogonType + ", User:" + $TargetDomainName + "\\" + $TargetUserName + ", IPAddr:" + $IPAddress; \
     else if $raw_event =~ /^(.+)(Detailed Authentication Information:|Additional Information:)/ $raw_event = $1; if $raw_event =~ s/\t/  /g {}

Любая помощь будет принята с благодарностью.

Редактировать: для полноты ниже был мой окончательный конфиг, чтобы исключить имена пользователей с $ в нем, а затем успешные события / Curb на различных аккаунтах, которые были болтливыми, о которых мне было наплевать.

Exec if $TargetUserName =~ /(\S+\$)/ drop(); \
     else if ($EventID == 4624 and $TargetUserName =~ /(user1|user2|user3|user4)/) drop(); \
     else if ($EventID == 4648 and $TargetUserName =~ /(user1|user2|user3|user4)/) drop(); \
     else if ($EventID == 4624 or $EventID == 4625 or $EventID == 4648 or $EventID == 4768) $raw_event = "Time:" + $EventTime + ", EventID:" + $EventID + ", Keyword:" + $Status + ", LogonType:" + $LogonType + ", User:" + $TargetDomainName + "\\" + $TargetUserName + ", IPAddr:" + $IPAddress; \
     else if $raw_event =~ /^(.+)(Detailed Authentication Information:|Additional Information:)/ $raw_event = $1; if $raw_event =~ s/\t/  /g {}
Источник

1 ответ

Решение

Причина синтаксической ошибки заключается в том, что ваши скобки неправильно спарены. Это должно быть так:

Exec if ($EventID == 4624 ... ) drop(); 
        ^                     ^
Источник
Другие вопросы по тегам