Маскирование
Для передачи обратной косой черты в аргументе команды Smart Monitor Language (далее - SML)
, необходимо экранировать обратную косую черту, используя в поисковом запросе строку с двойной косой чертой (\\
). Пример поискового запроса представлен ниже:
source sysmon_operational
| search command_line="C:\\Windows\\cmd.exe dir /s c:\\ProgramFiles >> files.txt"
Обратите внимание!
Для поиска по точному совпадению при выполнени и запроса поле должно иметь тип keyword
. Если поле имеет тип text
, который используется по умолчанию при индексировании данных, то необходимо при поиске явно указать тип keyword
. На примере выше поисковый запрос примет следующий вид:
source sysmon_operational
| search command_line.keyword="C:\\Windows\\cmd.exe dir /s c:\\ProgramFiles >> files.txt"
Подробнее с типами полей можно ознакомиться в статье.