可以将 Windows 事件通道添加到 Log Insight Windows Agent配置。 Log Insight Windows Agent 将收集日志事件并将其发送到 vRealize Log Insight 服务器。

字段名称受到一定的限制。以下名称是保留名称,因此不能用作字段名称。

  • event_type
  • hostname
  • source
  • text

前提条件

登录到已安装 vRealize Log InsightWindows 代理的 Windows 计算机,启动“服务”管理器以验证是否已安装 vRealize Log Insight 代理服务。

过程

  1. 导航到 vRealize Log InsightWindows 代理的程序数据目录。
    %ProgramData%\VMware\Log Insight Agent
  2. 在任意文本编辑器中打开 liagent.ini 文件。
  3. 添加以下参数,并设置用于您环境的值。
    参数 描述
    [winlog|section_name] 配置部分的唯一名称。
    channel 事件通道的完整名称(显示在内置 Windows 应用程序“事件查看器”中的名称)。要复制正确的通道名称,请在事件查看器中右键单击通道,选择属性并复制完整名称字段的内容。
    enabled 用于启用或停用配置部分的一个可选参数。可能的值为 yes 或 no(不区分大小写)。默认值为 yes。
    tags

    用于向所收集事件的字段添加自定义标记的可选参数。使用 JSON 表示法定义标记。标记名称可以包含字母、数字和下划线。标记名称只能以字母或下划线开头,并且不能超过 64 个字符。标记名称不区分大小写。例如,如果使用 tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" },则将 Tag_Name1 作为重复项忽略。不能将 event_type 和时间戳用作标记名称。同一个声明中的所有重复项都将被忽略。

    如果目标是 syslog 服务器,标记可能会覆盖 APP-NAME 字段。例如,tags={"appname":"VROPS"}。

    whitelist, blacklist 显式包括或排除日志事件的可选参数。
    注: blacklist 选项仅适用于字段;不可用于块文本。
    exclude_fields (可选)用于从收集中排除各个字段的一个参数。可以通过分号分隔的列表的形式提供多个值。例如,exclude_fields=EventId; ProviderName 
    [winlog|section_name]
channel=event_channel_name
enabled=yes_or_no
tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" }
  4. 保存并关闭 liagent.ini 文件。

示例: 配置

请参见下面的 [winlog| 配置示例。 

[winlog|Events_Firewall ]
channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall 
enabled=no

[winlog|custom]
channel=Custom
tags={"ChannelDescription": "Events testing channel"}