Use los campos de eventos y operadores de Windows para crear expresiones de filtro.
Operadores de expresión de filtro
| Operador | Descripción |
|---|---|
| ==, != | igual y no igual. Usar con campos numéricos y de cadenas. |
| >=, >, <, <= | mayor o igual, mayor que, menor que, menor o igual. Usar con campos numéricos solamente. |
| &, |, ^, ~ | AND, OR, XOR bit a bit y operadores de complementos. Usar con campos numéricos solamente. |
| and, or | AND y OR lógicos. Usar para crear expresiones complejas mediante la combinación de expresiones simples. |
| not | Operador NOT lógico unario. Usar para revertir el valor de una expresión. |
| () | Usar paréntesis en una expresión lógica para cambiar el orden de evaluación. |
Campos de eventos de Windows
Puede usar los siguientes campos de eventos de Windows en una expresión de filtro.
| Nombre de campo | Tipo de campo |
|---|---|
| Nombre de host | cadena |
| Texto | cadena |
| ProviderName | cadena |
| EventSourceName | cadena |
| EventID | numérico |
| EventRecordID | numérico |
| Canal | cadena |
| UserID | cadena |
| Nivel | numérico
Puede usar las siguientes constantes predefinidas
|
| Tarea | numérico |
| OpCode | numérico |
| Palabras clave | numérico
Puede usar las siguientes máscaras de bit predefinidas
|
Ejemplos
Recopilar todos los eventos críticos, de error y advertencia
[winlog|app] channel = Application whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
Recopilar solo eventos Auditar falla del canal de seguridad
[winlog|security] channel = Security whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE