Sie können Filter für Windows-Ereigniskanäle einrichten, um Protokollereignisse explizit aufzunehmen bzw. auszuschließen.

Zur Auswertung eines Filterausdrucks verwenden Sie die Parameter whitelist und blacklist. Der Filterausdruck ist ein boolescher Ausdruck, der aus Ereignisfeldern und -operatoren besteht.

Hinweis: Die Option blacklist gilt nur für Felder. Sie kann nicht verwendet werden, um Text zu blockieren.
  • Der whitelist-Parameter erfasst nur Protokollereignisse, für welche die Auswertung des Filterausdrucks ungleich null ist. Wenn Sie diesen Parameter auslassen, ist der Wert eine implizierte 1.
  • Der blacklist-Parameter schließt Protokollereignisse aus, für welche die Auswertung des Filterausdrucks ungleich null ist. Der Standardwert lautet 0.

Eine umfassende Liste der Windows-Ereignisfelder und -Operanden finden Sie unter Ereignisfelder und Operanden.

Voraussetzungen

Melden Sie sich bei dem Windows-Computer an, auf dem Sie den VMware Aria Operations for Logs Windows-Agent installiert haben, und starten Sie den Dienst-Manager, um zu überprüfen, ob der VMware Aria Operations for Logs-Agent-Dienst installiert ist.

Prozedur

  1. Navigieren Sie zum Programmdatenordner des Windows-Agenten für VMware Aria Operations for Logs.
    %ProgramData%\VMware\Log Insight Agent
  2. Öffnen Sie die Datei liagent.ini in einem beliebigen Texteditor.
  3. Fügen Sie den Parameter whitelist oder blacklist im Abschnitt [winlog|] hinzu.
    Beispiel: 
    [winlog|unique_section_name]
channel = event_channel_name
blacklist = filter_expression
  4. Erstellen Sie einen Filterausdruck aus Windows-Ereignisfeldern und -Operanden.
    Beispiel: 
    whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
  5. Speichern und schließen Sie die Datei liagent.ini.

Beispiel: Filterkonfigurationen

Sie können den Agent beispielsweise so konfigurieren, dass nur Fehlerereignisse erfasst werden. 

[winlog|Security-Error]
channel = Security
whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR

Sie können den Agent beispielsweise so konfigurieren, dass nur VMware Network-Ereignisse aus dem Anwendungskanal erfasst werden. 

[winlog|VMwareNetwork]
channel = Application
whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"

Sie können den Agent beispielsweise so konfigurieren, dass mit Ausnahme bestimmter Ereignisse alle Ereignisse aus dem Sicherheitskanal erfasst werden. 

[winlog|Security-Verbose]
channel = Security
blacklist = EventID == 4688 or EventID == 5447