Sie können mit der Filteroption im Abschnitt [server|<dest_id>] Ihrer lokalen liagent.ini-Datei die Informationen angeben, die ein Agent zu einem Ziel sendet.
Für die Option gilt folgendes Format:
filter = {collector_type; collector_filter; event_filter}
| Filtertyp | Beschreibung |
|---|---|
| Collectortyp | Eine Liste mit durch Kommas getrennten Einträgen, die die Collectortypen definiert. Unterstützte Werte sind filelog oder winlog. Wenn kein Wert angegeben ist, werden alle Collectortypen verwendet. |
| Collectorfilter | Legt den Namen eines Collectorabschnitts in einem Regex-Format fest. Beispiel: vcops_.* bezieht sich auf alle Collectorabschnitte, die mit „vcops_“ beginnen. |
| Ereignisfilter | Für Protokollereignisfeldfilter gilt die gleiche Syntax wie für eine Positivliste oder eine Negativliste in Collectorabschnitten. Ein Agent sendet nur Protokollereignisse, die den Ausdruck auf „Wahr“ oder auf einen Wert ungleich null auswerten. Ein leerer Ereignisfilter wird immer auf „Wahr“ ausgewertet. Um Ereignisfilter auf Protokollereignisse anwenden zu können, müssen Sie in den entsprechenden Collectorabschnitten einen Parser für die Feldextrahierung definieren. Wenn ein Ausdruck aufgrund fehlender Felder im erfassten Protokollereignis nicht ausgewertet werden kann, wird das Ereignis verworfen. |
Wenn Sie mehrere Filterausdrücke angeben möchten, müssen Sie diese durch ein Komma wie im folgenden Beispiel trennen:
filter=
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
Wenn eine Nachricht mehr als einer Gruppe von Filterkriterien für ein Ziel entspricht, wird sie nur einmal gesendet.
| Filter | Bedeutung |
|---|---|
| filter= {winlog;Microsoft.*;} |
Sendet Protokollereignisse aus winlog-Collectoren nur dann, wenn der Name des Ereignisses mit „Microsoft“ beginnt. |
| filter= {winlog;Microsoft.*; eventid == 1023} |
Sendet Protokollereignisse aus winlog-Collectoren nur dann, wenn der Name des Ereignisses mit „Microsoft“ beginnt und die Ereignis-ID 1023 lautet. |
| filter= {;.*;} |
Standardfilterwert. Sendet alle Protokollereignisse aus allen Quellen. |
| filter= {winlog;.*;} | Sendet alle Protokollereignisse aus winlog-Abschnitten. |
| filter= {filelog;syslog;facility<5} | Sendet Protokollereignisse aus dem Abschnitt [filelog|syslog], wenn „facility“ kleiner als 5 ist. Die Abschnitte [filelog|syslog] müssen über einen Parser verfügen, der das Feld „facility“ extrahiert. Andernfalls werden alle Ereignisse übersprungen. |
| filter= {;;} | Entspricht keinem Protokollereignis. Verwenden Sie diese Syntax, um die Protokollweiterleitung zu deaktivieren. |
Im folgenden Beispiel wird ein Filter für die Konfiguration des zweiten Ziels des vorherigen Beispiels hinzugefügt.
; The second destination receives just syslog events through the plain syslog protocol.
[server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
Das nächste Beispiel verwendet einen komplexeren Filterausdruck.
; This destination receives vRealize Operations events if they have the level field equal
;to "error" or "warning" and they are collected by sections whose name begins with "vrops-"
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}
Wenn Sie mehrere Filterausdrücke angeben möchten, müssen Sie diese durch ein Komma wie im folgenden Beispiel trennen.
filter= e.
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
