https://community.splunk.com/t5/Splunk-Search/Replace-Text-result/m-p/487602#M193853 <P>Hi @andreguerrero12:</P> <P>You can use extract field UI defined in this link, it's easy you have just select the field and value:</P> <P><A href="https://docs.splunk.com/Documentation/Splunk/8.0.1/Knowledge/ExtractfieldsinteractivelywithIFX">https://docs.splunk.com/Documentation/Splunk/8.0.1/Knowledge/ExtractfieldsinteractivelywithIFX</A></P> Wed, 15 Jan 2020 16:24:41 GMT TISKAR 2020-01-15T16:24:41Z https://community.splunk.com/t5/Splunk-Search/Replace-Text-result/m-p/487601#M193852 <P>Hi i try to changue this result of Active directory :</P> <HR /> <P>01/14/2020 08:43:35 PM<BR /> LogName=Security<BR /> SourceName=Microsoft Windows security auditing.<BR /> EventCode=4662<BR /> EventType=0<BR /> Type=Información<BR /> ComputerName=PC.contoso.com<BR /> TaskCategory=Acceso del servicio de directorio<BR /> OpCode=Información<BR /> RecordNumber=97261742<BR /> Keywords=Auditoría correcta<BR /> Message=Se realizó una operación en un objeto</P> <P>Sujeto:</P> <PRE><CODE>Id. de seguridad: S-1-5-21-3233391241-374868812459-3721307255-1362 Nombre de cuenta: Administrator Dominio de cuenta: contoso.com Id. de inicio de sesión: 0x211202AE </CODE></PRE> <P>Objeto:</P> <PRE><CODE>Servidor del objeto: DS Tipo de objeto: %{bf967a86-0de6-11d0-a285-00aa003049e2} Nombre del objeto: %{e4b7f806-0bcb-4ba6-a757-f41ae37b2ddb} Id. de identificador: 0x0 </CODE></PRE> <P>Operación:</P> <PRE><CODE>Tipo de operación: Object Access Accesos: Propiedad de escritura Máscara de acceso: 0x20 Propiedades: Propiedad de escritura {e48d0154-bcf8-1s1d1-8702-00c04fba96050} {bf96793f-0de6-11d0-a285-00waa003049e2} {bf967a0e-0dqe6-11d0-a285-00aa003049e2} {bf967a86-0de6-11d0-a285-00aa003049e2} </CODE></PRE> <P>Información adicional:</P> <PRE><CODE>Parámetro 1: CN=User,OU=P1,OU=contoso ,DC=contoso.com Parámetro 2: %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}01/14/2020 08:43:35 PM </CODE></PRE> <P>LogName=Security<BR /> SourceName=Microsoft Windows security auditing.<BR /> EventCode=4662<BR /> EventType=0<BR /> Type=Información<BR /> ComputerName=PC.contoso.com<BR /> TaskCategory=Acceso del servicio de directorio<BR /> OpCode=Información<BR /> RecordNumber=97261742<BR /> Keywords=Auditoría correcta<BR /> Message=Se realizó una operación en un objeto</P> <P>Sujeto:</P> <PRE><CODE>Id. de seguridad: S-1-5-21-3233391241-374868812459-3721307255-1362 Nombre de cuenta: Administrator Dominio de cuenta: contoso.com Id. de inicio de sesión: 0x211202AE </CODE></PRE> <P>Objeto:</P> <PRE><CODE>Servidor del objeto: DS Tipo de objeto: %{bf967a86-0de6-11d0-a285-00aa003049e2} Nombre del objeto: %{e4b7f806-0bcb-4ba6-a757-f41ae37b2ddb} Id. de identificador: 0x0 </CODE></PRE> <P>Operación:</P> <PRE><CODE>Tipo de operación: Object Access Accesos: Propiedad de escritura Máscara de acceso: 0x20 Propiedades: Propiedad de escritura {e48d0154-bcf8-1s1d1-8702-00c04fba96050} {bf96793f-0de6-11d0-a285-00waa003049e2} {bf967a0e-0dqe6-11d0-a285-00aa003049e2} {bf967a86-0de6-11d0-a285-00aa003049e2} </CODE></PRE> <P>Información adicional:</P> <PRE><CODE>Parámetro 1: CN=User,OU=P1,OU=contoso ,DC=contoso.com Parámetro 2: %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f} </CODE></PRE> <HR /> <P>En format : </P> <P>Date Time Event Code Nombre de cuenta Dominio de cuenta Message Parámetro 1 Parámetro 2:<BR /> 01/14/2020 8:43:35 p. m. 4662 Administrador contoso.com Se realizó una operación en un objeto CN=User,OU=P1,OU=contoso ,DC=contoso.com %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}</P> <P><span class="lia-inline-image-display-wrapper" image-alt="alt text"><img src="https://community.splunk.com/t5/image/serverpage/image-id/8239i6B2091D604482A26/image-size/large?v=v2&amp;px=999" role="button" title="alt text" alt="alt text" /></span></P> <P>thank you so much for your help.</P> Wed, 15 Jan 2020 15:17:07 GMT https://community.splunk.com/t5/Splunk-Search/Replace-Text-result/m-p/487601#M193852 andreguerrero12 2020-01-15T15:17:07Z https://community.splunk.com/t5/Splunk-Search/Replace-Text-result/m-p/487602#M193853 <P>Hi @andreguerrero12:</P> <P>You can use extract field UI defined in this link, it's easy you have just select the field and value:</P> <P><A href="https://docs.splunk.com/Documentation/Splunk/8.0.1/Knowledge/ExtractfieldsinteractivelywithIFX">https://docs.splunk.com/Documentation/Splunk/8.0.1/Knowledge/ExtractfieldsinteractivelywithIFX</A></P> Wed, 15 Jan 2020 16:24:41 GMT https://community.splunk.com/t5/Splunk-Search/Replace-Text-result/m-p/487602#M193853 TISKAR 2020-01-15T16:24:41Z