Splunk Search

Replace Text result

andreguerrero12
New Member

Hi i try to changue this result of Active directory :


01/14/2020 08:43:35 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4662
EventType=0
Type=Información
ComputerName=PC.contoso.com
TaskCategory=Acceso del servicio de directorio
OpCode=Información
RecordNumber=97261742
Keywords=Auditoría correcta
Message=Se realizó una operación en un objeto

Sujeto:

Id. de seguridad:       S-1-5-21-3233391241-374868812459-3721307255-1362

Nombre de cuenta:       Administrator

Dominio de cuenta:      contoso.com

Id. de inicio de sesión:       0x211202AE

Objeto:

Servidor del objeto:        DS

Tipo de objeto:     %{bf967a86-0de6-11d0-a285-00aa003049e2}

Nombre del objeto:      %{e4b7f806-0bcb-4ba6-a757-f41ae37b2ddb}

Id. de identificador:       0x0

Operación:

Tipo de operación:     Object Access

Accesos:        Propiedad de escritura



Máscara de acceso:     0x20

Propiedades:        Propiedad de escritura

    {e48d0154-bcf8-1s1d1-8702-00c04fba96050}

        {bf96793f-0de6-11d0-a285-00waa003049e2}

        {bf967a0e-0dqe6-11d0-a285-00aa003049e2}

{bf967a86-0de6-11d0-a285-00aa003049e2}

Información adicional:

Parámetro 1:       CN=User,OU=P1,OU=contoso ,DC=contoso.com

Parámetro 2:       %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}01/14/2020 08:43:35 PM

LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4662
EventType=0
Type=Información
ComputerName=PC.contoso.com
TaskCategory=Acceso del servicio de directorio
OpCode=Información
RecordNumber=97261742
Keywords=Auditoría correcta
Message=Se realizó una operación en un objeto

Sujeto:

Id. de seguridad:       S-1-5-21-3233391241-374868812459-3721307255-1362

Nombre de cuenta:       Administrator

Dominio de cuenta:      contoso.com

Id. de inicio de sesión:       0x211202AE

Objeto:

Servidor del objeto:        DS

Tipo de objeto:     %{bf967a86-0de6-11d0-a285-00aa003049e2}

Nombre del objeto:      %{e4b7f806-0bcb-4ba6-a757-f41ae37b2ddb}

Id. de identificador:       0x0

Operación:

Tipo de operación:     Object Access

Accesos:        Propiedad de escritura


Máscara de acceso:     0x20

Propiedades:        Propiedad de escritura

    {e48d0154-bcf8-1s1d1-8702-00c04fba96050}

        {bf96793f-0de6-11d0-a285-00waa003049e2}

        {bf967a0e-0dqe6-11d0-a285-00aa003049e2}

{bf967a86-0de6-11d0-a285-00aa003049e2}

Información adicional:

Parámetro 1:       CN=User,OU=P1,OU=contoso ,DC=contoso.com

Parámetro 2:       %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}

En format :

Date Time Event Code Nombre de cuenta Dominio de cuenta Message Parámetro 1 Parámetro 2:
01/14/2020 8:43:35 p. m. 4662 Administrador contoso.com Se realizó una operación en un objeto CN=User,OU=P1,OU=contoso ,DC=contoso.com %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}

alt text

thank you so much for your help.

Tags (1)
0 Karma

TISKAR
Builder

Hi @andreguerrero12:

You can use extract field UI defined in this link, it's easy you have just select the field and value:

https://docs.splunk.com/Documentation/Splunk/8.0.1/Knowledge/ExtractfieldsinteractivelywithIFX

0 Karma
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...