Puede configurar filtros para los canales de eventos de Windows para incluir o excluir explícitamente los eventos de registro.
Puede usar los parámetros whitelist y blacklist para evaluar una expresión de filtro. La expresión del filtro es una expresión booleana que consta de operadores y campos de eventos.
- El parámetro whitelist recopila solo los eventos de registro para los cuales la expresión del filtro evalúa como distinta a cero. Si omite este parámetro, el valor se implica en 1.
- El parámetro blacklist excluye los eventos de registro para los cuales la expresión del filtro evalúa como distinta a cero. El valor predeterminado es 0.
Para obtener una lista completa de los operadores y campos de eventos Windows, consulte Campos de eventos y operadores.
Requisitos previos
Inicie sesión en el equipo Windows donde instaló el agente de Windows de vRealize Log Insight e inicie el administrador de servicios para verificar que el servicio del agente de vRealize Log Insight esté instalado.
Procedimiento
Ejemplo: Configuraciones del filtro
Puede configurar el agente para, por ejemplo, recopilar solo eventos de error
[winlog|Security-Error] channel = Security whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR
Puede configurar el agente para, por ejemplo, recopilar solo eventos de la red VMware del canal Aplicación
[winlog|VMwareNetwork] channel = Application whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"
Puede configurar el agente para, por ejemplo, recopilar todos los eventos del canal Seguridad excepto los eventos particulares
[winlog|Security-Verbose] channel = Security blacklist = EventID == 4688 or EventID == 5447