Grok Filter只想查看进程名称

Question

我只想看到Process cmd.exe。

实施例：

New Process Name: C:\Windows\System32\cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`

神交过滤：

New Process Name: %{GREEDYDATA}\\%{GREEDYDATA:Process}

输出：

{ 
 
    "Process": [ 
 
    [ 
 
     "cmd.exe Token Elevation Type: %%1938 Creator Process ID: 0x1a0`enter code here`" 
 
    ] 
 
    ] 
 
}

如何我能看到只有CMD.EXE，而不是令牌升降式：%% 1938年创建者进程ID：0x1a0`enter？

Answer 1

GREEDYDATA通常表示“一切”。我发现它通常没有用处，除非在模式结束时（作为一个全部）。

所以，你要求反斜杠后的所有内容，这就是你所得到的。

如何：

New Process Name: %{GREEDYDATA}\\%{NOTSPACE:Process}