Puede añadir un canal de eventos de Windows a la configuración de Log Insight Windows Agent. El Log Insight Windows Agent recopilará los eventos y los enviará al servidor vRealize Log Insight.

Los nombres de campos están restringidos. Los siguientes nombres están reservados y no se pueden utilizar como nombres de campo.

  • event_type
  • hostname
  • source
  • text

Requisitos previos

Inicie sesión en el equipo Windows donde instaló el agente de Windows de vRealize Log Insight e inicie el administrador de servicios para verificar que el servicio del agente de vRealize Log Insight esté instalado.

Procedimiento

  1. Desplácese hasta el directorio de datos del programa del agente de Windows de vRealize Log Insight.
    %ProgramData%\VMware\Log Insight Agent
  2. Abra el archivo liagent.ini en cualquier editor de texto.
  3. Añada los siguientes parámetros y configure los valores para su entorno.
    Parámetro Descripción
    [winlog|section_name] Un nombre único para la sección de configuración.
    channel El nombre completo del canal de eventos como aparece en la aplicación de Windows incorporada del Visor de eventos. Para copiar el nombre de canal correcto, haga clic con el botón derecho en un canal del Visor de eventos, seleccione Propiedades y copie los contenidos del campo Nombre completo.
    enabled Un parámetro opcional para habilitar o deshabilitar la sección de configuración. Los valores posibles son sí o no (distingue mayúsculas de minúsculas). El valor predeterminado es sí.
    tags

    El parámetro opcional para añadir etiquetas personalizadas a los campos de eventos recopilados. Defina las etiquetas usando la anotación JSON. Los nombres de etiquetas pueden incluir letras, números y guiones bajos. Un nombre de etiqueta solo puede comenzar con una letra o un guion bajo y no puede tener más de 64 caracteres. Los nombres de las etiquetas no distinguen entre mayúsculas y minúsculas. Por ejemplo, si utiliza las etiquetas={"etiqueta_nombre1" : "etiqueta valor 1", "Etiqueta_Nombre1" : "etiqueta valor 2" }, Etiqueta_Nombre1 se ignora, por tratarse de una instancia duplicada. No es posible utilizar evento_tipo y la marca de tiempo como nombres de etiqueta. Los duplicados dentro de la misma declaración se ignoran.

    Si el destino es un servidor syslog, las etiquetas pueden anular el campo APP-NAME. Por ejemplo, etiquetas={"appname":"VROPS"}.

    whitelist, blacklist Los parámetros opcionales para incluir o excluir de manera explícita los eventos de registro.
    Nota: La opción blacklist sirve únicamente para campos; no se puede usar para bloquear texto.
    exclude_fields (Opcional) Un parámetro para excluir de la recopilación a los campos individuales. Puede proporcionar múltiples valores como una lista separada por punto y coma. Por ejemplo, exclude_fields=EventId; ProviderName
    [winlog|section_name]
    channel=event_channel_name
    enabled=yes_or_no
    tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" }
  4. Guarde y cierre el archivo liagent.ini.

Ejemplo: Configuraciones

Vea los siguientes ejemplos de configuración [winlog|.

[winlog|Events_Firewall ]
channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall 
enabled=no
[winlog|custom]
channel=Custom
tags={"ChannelDescription": "Events testing channel"}