Sie können einen Windows-Ereigniskanal zur Log Insight Windows Agent-Konfiguration hinzufügen. Der Log Insight Windows Agent erfasst die Protokollereignisse und sendet sie an den vRealize Log Insight-Server.

Feldnamen sind eingeschränkt. Die folgenden Namen sind reserviert und können nicht als Feldnamen verwendet werden.

  • event_type
  • hostname
  • source
  • text

Voraussetzungen

Melden Sie sich bei dem Windows-Computer an, auf dem Sie den vRealize Log Insight Windows-Agent installiert haben, und starten Sie den Dienst-Manager, um zu überprüfen, ob der vRealize Log Insight-Agent-Dienst installiert ist.

Prozedur

  1. Navigieren Sie zum Programmdatenordner des Windows-Agenten für vRealize Log Insight.
    %ProgramData%\VMware\Log Insight Agent
  2. Öffnen Sie die Datei liagent.ini in einem beliebigen Texteditor.
  3. Fügen Sie die folgenden Parameter hinzu und legen Sie die Werte für Ihre Umgebung fest.
    Parameter Beschreibung
    [winlog|section_name] Ein eindeutiger Name für den Konfigurationsabschnitt.
    channel Der vollständige Name des Ereigniskanals, wie in der Ereignisanzeige der integrierten Windows-Anwendung, angezeigt. Um den richtigen Kanalnamen zu kopieren, klicken Sie in der Ereignisanzeige mit der rechten Maustaste auf einen Kanal, wählen Sie Eigenschaften aus und kopieren Sie die Inhalte des Felds Vollständiger Name.
    enabled Ein optionaler Parameter zum Aktivieren oder Deaktivieren des Konfigurationsabschnitts. Mögliche Werte sind „ja“ oder „nein“ (die Groß- und Kleinschreibung wird nicht beachtet). Der Standardwert lautet „ja“.
    tags

    Optionaler Parameter zum Hinzufügen von benutzerdefinierten Tags zu den Feldern der erfassten Ereignisse. Definieren Sie Tags mit der JSON-Notation. Tagnamen können Buchstaben, Zahlen und Unterstriche enthalten. Ein Tagname darf nur mit einem Buchstaben oder einem Unterstrich beginnen und darf nicht mehr als 64 Zeichen enthalten. Bei Tagnamen wird die Groß- und Kleinschreibung nicht berücksichtigt. Wenn Sie zum Beispiel tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" } verwenden, wird Tag_Name1 als Duplikat ignoriert. Sie können „event_type“ und „timestamp“ nicht als Tagnamen verwenden. Alle Duplikate innerhalb derselben Deklaration werden ignoriert.

    Wenn das Ziel ein Syslog-Server ist, können Tags das Feld „APP-NAME“ überschreiben. Beispiel: tags={"appname":"VROPS"}.

    whitelist, blacklist Optionale Parameter zum expliziten Einbeziehen oder Ausschließen von Protokollereignissen.
    Hinweis: Die Option blacklist gilt nur für Felder. Sie kann nicht verwendet werden, um Text zu blockieren.
    exclude_fields (Optional) Ein Parameter zum Ausschließen einzelner Felder aus der Erfassung. Sie können mehrere Werte als eine durch Semikolons getrennte Liste eingeben. Beispiel: exclude_fields=EventId; ProviderName
    [winlog|section_name]
    channel=event_channel_name
    enabled=yes_or_no
    tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" }
  4. Speichern und schließen Sie die Datei liagent.ini.

Beispiel: Konfigurationen

Beachten Sie die folgenden [winlog|-Konfigurationsbeispiele.

[winlog|Events_Firewall ]
channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall 
enabled=no
[winlog|custom]
channel=Custom
tags={"ChannelDescription": "Events testing channel"}