您可以为 Windows 事件通道设置筛选器以显式包含或排除日志事件。

使用 whitelistblacklist 参数来评估筛选表达式。筛选表达式是一个包含事件字段和运算符的布尔表达式。

注: blacklist 选项仅适用于字段;不可用于块文本。
  • whitelist 参数仅收集筛选表达式评估为非零的日志事件。如果忽略此参数,则相应的值为隐含的 1。
  • blacklist 参数将排除筛选表达式评估为非零的日志事件。默认值为 0。

有关 Windows 事件字段和运算符的完整列表,请参见事件字段和运算符

前提条件

登录到已安装 VMware Aria Operations for Logs Windows Agent 的 Windows 计算机,启动“服务”管理器以验证是否已安装 VMware Aria Operations for Logs Agent 服务。

过程

  1. 导航到 VMware Aria Operations for LogsWindows 代理的程序数据目录。
    %ProgramData%\VMware\Log Insight Agent
  2. 在任意文本编辑器中打开 liagent.ini 文件。
  3. [winlog|] 部分中添加 whitelistblacklist 参数。
    例如 
    [winlog|unique_section_name]
channel = event_channel_name
blacklist = filter_expression
  4. 从 Windows 事件字段和运算符中创建筛选表达式。
    例如 
    whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
  5. 保存并关闭 liagent.ini 文件。

示例: 筛选器配置

您可以将代理配置为仅收集错误事件,例如 

[winlog|Security-Error]
channel = Security
whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR

您可以将代理配置为从应用程序通道中仅收集 VMware Network 事件,例如 

[winlog|VMwareNetwork]
channel = Application
whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"

您可以将代理配置为从安全通道中收集除特定事件以外的所有事件,例如 

[winlog|Security-Verbose]
channel = Security
blacklist = EventID == 4688 or EventID == 5447