Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

Replace Text result

andreguerrero12
New Member
‎01-15-2020 07:17 AM

Hi i try to changue this result of Active directory :

01/14/2020 08:43:35 PM
LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4662
EventType=0
Type=Información
ComputerName=PC.contoso.com
TaskCategory=Acceso del servicio de directorio
OpCode=Información
RecordNumber=97261742
Keywords=Auditoría correcta
Message=Se realizó una operación en un objeto

Sujeto:

Id. de seguridad:       S-1-5-21-3233391241-374868812459-3721307255-1362

Nombre de cuenta:       Administrator

Dominio de cuenta:      contoso.com

Id. de inicio de sesión:       0x211202AE

Objeto:

Servidor del objeto:        DS

Tipo de objeto:     %{bf967a86-0de6-11d0-a285-00aa003049e2}

Nombre del objeto:      %{e4b7f806-0bcb-4ba6-a757-f41ae37b2ddb}

Id. de identificador:       0x0

Operación:

Tipo de operación:     Object Access

Accesos:        Propiedad de escritura



Máscara de acceso:     0x20

Propiedades:        Propiedad de escritura

    {e48d0154-bcf8-1s1d1-8702-00c04fba96050}

        {bf96793f-0de6-11d0-a285-00waa003049e2}

        {bf967a0e-0dqe6-11d0-a285-00aa003049e2}

{bf967a86-0de6-11d0-a285-00aa003049e2}

Información adicional:

Parámetro 1:       CN=User,OU=P1,OU=contoso ,DC=contoso.com

Parámetro 2:       %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}01/14/2020 08:43:35 PM

LogName=Security
SourceName=Microsoft Windows security auditing.
EventCode=4662
EventType=0
Type=Información
ComputerName=PC.contoso.com
TaskCategory=Acceso del servicio de directorio
OpCode=Información
RecordNumber=97261742
Keywords=Auditoría correcta
Message=Se realizó una operación en un objeto

Sujeto:

Id. de seguridad:       S-1-5-21-3233391241-374868812459-3721307255-1362

Nombre de cuenta:       Administrator

Dominio de cuenta:      contoso.com

Id. de inicio de sesión:       0x211202AE

Objeto:

Servidor del objeto:        DS

Tipo de objeto:     %{bf967a86-0de6-11d0-a285-00aa003049e2}

Nombre del objeto:      %{e4b7f806-0bcb-4ba6-a757-f41ae37b2ddb}

Id. de identificador:       0x0

Operación:

Tipo de operación:     Object Access

Accesos:        Propiedad de escritura


Máscara de acceso:     0x20

Propiedades:        Propiedad de escritura

    {e48d0154-bcf8-1s1d1-8702-00c04fba96050}

        {bf96793f-0de6-11d0-a285-00waa003049e2}

        {bf967a0e-0dqe6-11d0-a285-00aa003049e2}

{bf967a86-0de6-11d0-a285-00aa003049e2}

Información adicional:

Parámetro 1:       CN=User,OU=P1,OU=contoso ,DC=contoso.com

Parámetro 2:       %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}

En format :

Date Time Event Code Nombre de cuenta Dominio de cuenta Message Parámetro 1 Parámetro 2:
01/14/2020 8:43:35 p. m. 4662 Administrador contoso.com Se realizó una operación en un objeto CN=User,OU=P1,OU=contoso ,DC=contoso.com %{d2a130dasd2-46f4-4f19-b695-928f45c9de4f}

alt text

thank you so much for your help.

Tags (1)
Preview file
1 KB
0 Karma
Reply

TISKAR
Builder
‎01-15-2020 08:24 AM

Hi @andreguerrero12:

You can use extract field UI defined in this link, it's easy you have just select the field and value:

https://docs.splunk.com/Documentation/Splunk/8.0.1/Knowledge/ExtractfieldsinteractivelywithIFX

0 Karma
Reply
Get Updates on the Splunk Community!

More Ways To Control Your Costs With Archived Metrics | Register for Tech Talk

Tuesday, May 14, 2024  |  11AM PT / 2PM ET Register to Attend Join us for this Tech Talk and learn how to ...

.conf24 | Personalize your .conf experience with Learning Paths!

Personalize your .conf24 Experience Learning paths allow you to level up your skill sets and dive deeper ...

Threat Hunting Unlocked: How to Uplevel Your Threat Hunting With the PEAK Framework ...

WATCH NOWAs AI starts tackling low level alerts, it's more critical than ever to uplevel your threat hunting ...