分享至
之前在做事件監控時發現一個狀況,就是安全性事件檢視器紀錄中的 "AccessList=%%7680"(舉例)無法直接使用 "%%7680" 做查詢,經過尋找後發現需改用 "%%7680"作為查詢條件即可成功。
在解答連結中有提到值的意義-- the Tab
-- newline
-- carriage return這應該是對應到特殊字元
我的問題是,要怎麼得知在原本的值之後要加上哪些特殊字元? 為什麼是這麼做?我看過特殊字元裡的字元定義跟舉的例子,這樣最終出來的值不是4個tab字元嗎?
請各位替我解答,感謝。
我剛剛發現貼文後,那些特殊字元無法顯示,請從發問中提到的第一個連結進入觀看,謝謝。
已邀請的邦友 0/5
要怎麼得知在原本的值之後要加上哪些特殊字元?
你貼的那個解答連結裡的第二個答案就有用程式去抓出來了的確最後是 4 個 tab 沒錯...
我本來想找找看如何用 start-with / contains 來解決你的問題不過卻找到這篇說辦不到
重看了解答二,似乎有點懂了。%%7680應該不是單純的文字字串。
其實%%7680 是單純的文字字串只是有些「不可見字元」而已
%%7680
原來如此,感謝你的解答。我剛剛試了查詢其他含有"%%"的其他欄位,似乎都沒有含「不可見字元」,這AccessList欄位真的有點特殊。
感謝你的解答,謝謝。
iThome鐵人賽
看影片追技術
看更多
