Erstellen Sie Filterausdrücke mithilfe der Windows-Ereignisfelder und -Operanden.
Operatoren für Filterausdrücke
| Operator | Beschreibung |
|---|---|
| ==, != | gleich und ungleich. Sowohl mit Zahlen- als auch mit Zeichenfolgenfeldern verwenden. |
| >=, >, <, <= | größer oder gleich, größer als, kleiner als, kleiner oder gleich. Nur mit Zahlenfeldern verwenden. |
| &, |, ^, ~ | Bitweise AND, OR, XOR und ergänzende Operanden. Nur mit Zahlenfeldern verwenden. |
| AND, OR | Logisches AND und OR. Für den Aufbau komplexer Ausdrücke durch Kombination von Einzelausdrücken. |
| nicht | Unär logischer NOT-Operand. Für die Umkehr des Werts eines Ausdrucks. |
| () | Verwenden Sie Klammern in einem logischen Ausdruck, um die Auswertungsreihenfolge zu ändern. |
Windows-Ereignisfelder
Sie können die folgenden Windows-Ereignisfelder in einem Filterausdruck verwenden:
| Feldname | Feldtyp |
|---|---|
| Hostname | String |
| Text | String |
| ProviderName | String |
| EventSourceName | String |
| EventID | numeric |
| EventRecordID | numeric |
| Kanal | String |
| UserID | String |
| Level | numeric
Sie können die folgenden vordefinierten Konstanten verwenden.
|
| Aufgabe | numeric |
| OpCode | numeric |
| Schlüsselwörter | numeric
Sie können die folgenden vordefinierten Bitmasken verwenden:
|
Beispiele
Erfassen aller kritischen Ereignisse sowie Fehler- und Warnereignisse
[winlog|app] channel = Application whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
Erfassen nur von Auditfehler-Ereignissen über den Sicherheitskanal
[winlog|security] channel = Security whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE