Use los campos de eventos y operadores de Windows para crear expresiones de filtro.

Operadores de expresión de filtro

Operador Descripción
==, != igual y no igual. Usar con campos numéricos y de cadenas.
>=, >, <, <= mayor o igual, mayor que, menor que, menor o igual. Usar con campos numéricos solamente.
&, |, ^, ~ AND, OR, XOR bit a bit y operadores de complementos. Usar con campos numéricos solamente.
and, or AND y OR lógicos. Usar para crear expresiones complejas mediante la combinación de expresiones simples.
not Operador NOT lógico unario. Usar para revertir el valor de una expresión.
() Usar paréntesis en una expresión lógica para cambiar el orden de evaluación.

Campos de eventos de Windows

Puede usar los siguientes campos de eventos de Windows en una expresión de filtro.

Nombre de campo Tipo de campo
Nombre de host cadena
Texto cadena
ProviderName cadena
EventSourceName cadena
EventID numérico
EventRecordID numérico
Canal cadena
UserID cadena
Nivel numérico
Puede usar las siguientes constantes predefinidas
  • WINLOG_LEVEL_SUCCESS = 0
  • WINLOG_LEVEL_CRITICAL = 1
  • WINLOG_LEVEL_ERROR = 2
  • WINLOG_LEVEL_WARNING = 3
  • WINLOG_LEVEL_INFO = 4
  • WINLOG_LEVEL_VERBOSE = 5
Tarea numérico
OpCode numérico
Palabras clave numérico
Puede usar las siguientes máscaras de bit predefinidas
  • WINLOG_KEYWORD_RESPONSETIME = 0x0001000000000000;
  • WINLOG_KEYWORD_WDICONTEXT = 0x0002000000000000;
  • WINLOG_KEYWORD_WDIDIAGNOSTIC = 0x0004000000000000;
  • WINLOG_KEYWORD_SQM = 0x0008000000000000;
  • WINLOG_KEYWORD_AUDITFAILURE = 0x0010000000000000;
  • WINLOG_KEYWORD_AUDITSUCCESS = 0x0020000000000000;
  • WINLOG_KEYWORD_CORRELATIONHINT = 0x0040000000000000;
  • WINLOG_KEYWORD_CLASSIC = 0x0080000000000000;

Ejemplos

Recopilar todos los eventos críticos, de error y advertencia

[winlog|app]
channel = Application
whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO

Recopilar solo eventos Auditar falla del canal de seguridad

[winlog|security]
channel = Security
whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE