Toon posts:

Arcsight Logger query

Pagina: 1
Acties:

Vraag

donderdag 26 april 2018 10:28

Acties:
  • 0 Henk 'm!
  • useruser
  • Registratie: Februari 2013
  • Laatst online: 11-10 23:53

useruser

Topicstarter
Iemand bekend met de syntax van ArcSight Logger?

Wil een query bouwen waar ik maar niet uitkom....

Specifiek: wil events zien van een bepaalde Windows eventID, maar negeren op bijvoorbeeld 01:30 tot 01:39 iedere nacht.

Nadeel is dat time fields allemaal een datum erin hebben en volgens mij harde data verwachten. Dus een %%%% 01:3%:00 werkt niet.

Alle reacties

donderdag 26 april 2018 10:44

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Ik ken hun syntax niet. Misschien kan je ipv <= en >= gaan werken met filteren op 01:3%:%. Of juist de som van alle andere gevallen: 00:%:% + 00:0%:% + 00:1%:% + ... + 02:%:% + 03:%:% + ...

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 26 april 2018 10:53

Acties:
  • 0 Henk 'm!
  • useruser
  • Registratie: Februari 2013
  • Laatst online: 11-10 23:53

useruser

Topicstarter
Ik krijg het dus niet voor elkaar om een % in een datum veld te zetten. Hij zegt dan simpelweg "Bad date format" of "Year needs to be YYYY" .

Nu weet ik dat je met regex=/d[4] etc. bijvoorbeeld iets zou kunnen bouwen, maar loop constant maar tegen syntax errors e.d. aan. Vandaar mijn hoop dat er een ervaringsdeskundige aanwezig was :)

donderdag 26 april 2018 10:58

Acties:
  • 0 Henk 'm!
  • Orion84
  • Registratie: April 2002
  • Nu online

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Mijn ArcSight skills zijn wat roestig, maar als ik dat zo lees ben ik blij dat ik tegenwoordig met Splunk werk :P

Ik zal eens kijken of ik wat uit kan vogelen. Welke versie gebruik je?

[ Voor 7% gewijzigd door Orion84 op 26-04-2018 11:03 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 26 april 2018 11:10

Acties:
  • 0 Henk 'm!
  • useruser
  • Registratie: Februari 2013
  • Laatst online: 11-10 23:53

useruser

Topicstarter
Versie 6+

donderdag 26 april 2018 11:29

Acties:
  • 0 Henk 'm!
  • Orion84
  • Registratie: April 2002
  • Nu online

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ik denk dat ik zou proberen om met eval / rex commando's de uren en minuten in een apart veld te stoppen, zodat je daar vervolgens op kan filteren.

Als je tegen problemen aanloopt met het kiezen van de juiste regex, post hem dan gerust. Ik zie je in je startpost regex=/d[4] noemen. Dat klinkt niet als hele logische syntax, bedoel je niet iets als \d{4} (voor 4 cijfers)?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq