Puede proporcionar la información que envía un agente a un destino con la opción de filtro en la sección [server|<dest_id>] del archivo liagent.ini local.
La opción sigue el siguiente formato:
filter = {collector_type; collector_filter; event_filter}
| Tipo de filtro | Descripción |
|---|---|
| collector_type | Una lista separada por comas que define los tipos de recopiladores. Los valores admitidos son filelog o winlog. Si no se proporciona ningún valor, se utilizarán todos los tipos de recopiladores. |
| collector_filter | Especifica el nombre de una sección del recopilador en un formato de expresión regular. Por ejemplo, vcops_.* se refiere a todas las secciones del recopilador que comienzan con "vcops_". |
| event_filter | Los filtros de los campos de evento de registro usan la misma sintaxis que una lista de permitidos o una lista de no permitidos en las secciones del recopilador. Un agente envía solo eventos de registro que evalúan la expresión como True o un valor distinto de cero. Si event_filter está vacío, siempre se evaluará como True. Para utilizar event_filter en eventos de registro, debe tener un analizador en las secciones del recopilador adecuadas para la extracción de campos. Si no se puede evaluar una expresión debido a la ausencia de campos en el evento de registro recopilado, se descartará el evento. |
Puede especificar más de una expresión de filtro si las separa con una coma, como se muestra en el siguiente ejemplo:
filter=
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
Si un mensaje cumple más de un conjunto de criterios de filtro para un destino, se enviará solo una vez.
| Filter (Filtrar) | Significado |
|---|---|
| filter= {winlog;Microsoft.*;} |
Envía eventos de registro de recopiladores de winlog solo si el nombre del evento de registro comienza con "Microsoft". |
| filter= {winlog;Microsoft.*; eventid == 1023} |
Envía eventos de registro de recopiladores de winlog solo si el nombre del evento comienza con "Microsoft" y el ID de evento es igual a 1023. |
| filter= {;.*;} |
Valor predeterminado del filtro. Envía todos los eventos de registro de todas las fuentes. |
| filter= {winlog;.*;} | Envía todos los eventos de registro de secciones de winlog. |
| filter= {filelog;syslog;facility<5} | Envía eventos de registro de la sección [filelog|syslog] si el valor de facility es inferior a 5. Las secciones [filelog|syslog] deben tener un analizador que extraiga el campo facility. De lo contrario, se omitirán todos los eventos. |
| filter= {;;} | No coincide con ningún evento de registro. Utilice esta sintaxis para desactivar el reenvío de registros. |
En el ejemplo siguiente se agrega un filtro a la configuración del segundo destino del ejemplo anterior.
; The second destination receives just syslog events through the plain syslog protocol.
[server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
El ejemplo siguiente utiliza una expresión de filtro más compleja.
; This destination receives vRealize Operations events if they have the level field equal
;to "error" or "warning" and they are collected by sections whose name begins with "vrops-"
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}
Puede especificar más de una expresión de filtro si las separa con una coma, como se muestra en el siguiente ejemplo.
filter= e.
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
