使用 Windows 事件字段和运算符来构建筛选表达式。

筛选表达式运算符

运算符 描述
==, ! = 等于和不等于。与数字字段和字符串字段一起使用。
>=, >, <, <= 大于或等于、大于、小于、小于或等于。仅与数字字段一起使用。
&, |, ^, ~ 位和、位或、位异或以及补算运算符。仅与数字字段一起使用。
和、或 逻辑和、逻辑或。用于通过合并简单表达式来构建复杂表达式。
一元逻辑非运算符。用于对表达式的值取反。
() 在逻辑表达式中使用括号来更改评估顺序。

Windows 事件字段

可以在筛选表达式中使用以下 Windows 事件字段。

字段名称 字段类型
Hostname 字符串
文本 字符串
ProviderName 字符串
EventSourceName 字符串
EventID 数字
EventRecordID 数字
通道 字符串
UserID 字符串
Level 数字
您可以使用以下预定义常量
  • WINLOG_LEVEL_SUCCESS = 0
  • WINLOG_LEVEL_CRITICAL = 1
  • WINLOG_LEVEL_ERROR = 2
  • WINLOG_LEVEL_WARNING = 3
  • WINLOG_LEVEL_INFO = 4
  • WINLOG_LEVEL_VERBOSE = 5
任务 数字
OpCode 数字
关键字 数字
您可以使用以下预定义位掩码
  • WINLOG_KEYWORD_RESPONSETIME = 0x0001000000000000;
  • WINLOG_KEYWORD_WDICONTEXT = 0x0002000000000000;
  • WINLOG_KEYWORD_WDIDIAGNOSTIC = 0x0004000000000000;
  • WINLOG_KEYWORD_SQM = 0x0008000000000000;
  • WINLOG_KEYWORD_AUDITFAILURE = 0x0010000000000000;
  • WINLOG_KEYWORD_AUDITSUCCESS = 0x0020000000000000;
  • WINLOG_KEYWORD_CORRELATIONHINT = 0x0040000000000000;
  • WINLOG_KEYWORD_CLASSIC = 0x0080000000000000;

示例

收集所有严重、错误和警告事件 

[winlog|app]
channel = Application
whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO

仅收集安全通道中的审核失败事件 

[winlog|security]
channel = Security
whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE