您可以为 Windows 日志文件设置筛选器以显式包含或排除日志事件。

使用 whitelistblacklist 参数来评估筛选表达式。筛选表达式是一个包含事件字段和运算符的布尔表达式。

注: blacklist 选项仅适用于字段;不可用于块文本。
  • whitelist 参数仅收集筛选表达式评估为非零的日志事件。如果忽略此参数,则相应的值为隐含的 1。
  • blacklist 参数将排除筛选表达式评估为非零的日志事件。默认值为 0。

有关 Windows 事件字段和运算符的完整列表,请参见事件字段和运算符

前提条件

登录到已安装 VMware Aria Operations for Logs Windows Agent 的 Windows 计算机,启动“服务”管理器以验证是否已安装 VMware Aria Operations for Logs Agent 服务。

过程

  1. 导航到 VMware Aria Operations for LogsWindows 代理的程序数据目录。
    %ProgramData%\VMware\Log Insight Agent
  2. 在任意文本编辑器中打开 liagent.ini 文件。
  3. [filelog|] 部分中添加 whitelistblacklist 参数。
    例如: 
    [filelog|apache]
directory = path_to_log_directory
include = glob_pattern
blacklist = filter_expression
  4. 从 Windows 事件字段和运算符中创建筛选表达式。
    例如 
    whitelist = myServer
  5. 保存并关闭 liagent.ini 文件。

示例: 筛选器配置

您可以配置代理以仅收集 Apache 日志,其中,server_name 为 

[filelog|apache]
directory=C:\Program Files\Apache Software Foundation\Apache2.4\logs
include=error.log
parser=clf
whitelist = server_name == "sample.com"
blacklist = remote_host == "127.0.0.1"