Sie können Filter für Windows-Protokolldateien einrichten, um Protokollereignisse explizit aufzunehmen bzw. auszuschließen.

Zur Auswertung eines Filterausdrucks verwenden Sie die Parameter whitelist und blacklist. Der Filterausdruck ist ein boolescher Ausdruck, der aus Ereignisfeldern und -operatoren besteht.

Hinweis: Die Option blacklist gilt nur für Felder. Sie kann nicht verwendet werden, um Text zu blockieren.
  • Der whitelist-Parameter erfasst nur Protokollereignisse, für welche die Auswertung des Filterausdrucks ungleich null ist. Wenn Sie diesen Parameter auslassen, ist der Wert eine implizierte 1.
  • Der blacklist-Parameter schließt Protokollereignisse aus, für welche die Auswertung des Filterausdrucks ungleich null ist. Der Standardwert lautet 0.

Eine umfassende Liste der Windows-Ereignisfelder und -Operanden finden Sie unter Ereignisfelder und Operanden.

Voraussetzungen

Melden Sie sich bei dem Windows-Computer an, auf dem Sie den VMware Aria Operations for Logs Windows-Agent installiert haben, und starten Sie den Dienst-Manager, um zu überprüfen, ob der VMware Aria Operations for Logs-Agent-Dienst installiert ist.

Prozedur

  1. Navigieren Sie zum Programmdatenordner des Windows-Agenten für VMware Aria Operations for Logs.
    %ProgramData%\VMware\Log Insight Agent
  2. Öffnen Sie die Datei liagent.ini in einem beliebigen Texteditor.
  3. Fügen Sie den Parameter whitelist oder blacklist im Abschnitt [filelog|] hinzu.
    Beispiel: 
    [filelog|apache]
directory = path_to_log_directory
include = glob_pattern
blacklist = filter_expression
  4. Erstellen Sie einen Filterausdruck aus Windows-Ereignisfeldern und -Operanden.
    Beispiel: 
    whitelist = myServer
  5. Speichern und schließen Sie die Datei liagent.ini.

Beispiel: Filterkonfigurationen

Sie können den Agent so konfigurieren, dass nur Apache-Protokolle mit folgendem „server_name“ erfasst werden: 

[filelog|apache]
directory=C:\Program Files\Apache Software Foundation\Apache2.4\logs
include=error.log
parser=clf
whitelist = server_name == "sample.com"
blacklist = remote_host == "127.0.0.1"