Vous pouvez ajouter un canal d'événements Windows à la configuration de Log Insight Windows Agent. Log Insight Windows Agent collecte les événements et les envoie au serveur vRealize Log Insight.

Les champs de noms sont limités. Les noms suivants sont réservés et ne peuvent pas être utilisés comme noms de champs.

  • event_type
  • hostname
  • source
  • text

Conditions préalables

Connectez-vous à la machine Windows sur laquelle vous avez installé vRealize Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service vRealize Log Insight Agent est installé.

Procédure

  1. Accédez au répertoire des données du programme de l'agent vRealize Log Insight Windows.
    %ProgramData%\VMware\Log Insight Agent
  2. Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque.
  3. Ajoutez les paramètres suivants et définissez les valeurs pour votre environnement.
    Paramètre Description
    [winlog|section_name] Nom unique de la section de configuration.
    channel Nom complet du canal d'événements, comme indiqué dans l'Observateur d'événements, application Windows intégrée. Pour copier le nom de canal correct, cliquez avec le bouton droit sur un canal dans l'Observateur d'événements, sélectionnez Propriétés et copiez le contenu du champ Nom complet.
    enabled Paramètre facultatif permettant d'activer ou de désactiver la section de configuration. Les valeurs possibles sont oui ou non (non sensibles à la casse). La valeur par défaut est oui.
    tags

    Paramètre facultatif permettant d'ajouter des balises personnalisées aux champs d'événements collectés. Définissez des balises avec la notation JSON. Les noms de balises peuvent contenir des lettres, des chiffres et des traits de soulignement. Un nom de balise ne peut commencer que par une lettre ou un trait de soulignement, et ne doit pas dépasser 64 caractères. Les noms de balise ne sont pas sensibles à la casse. Par exemple, si vous utilisez tags={"nom_balise1" : "valeur balise 1", "Nom_Balise1" : "valeur balise 2" }, Nom_Balise1 est ignoré, car il est en double. Vous ne pouvez pas utiliser event_type et timestamp comme noms de balises. Tous les doublons inclus dans la même déclaration sont ignorés.

    Si la destination est un serveur Syslog, les balises peuvent remplacer le champ APP-NAME. Par exemple, tags={"appname":"VROPS"}.

    whitelist, blacklist Paramètres facultatifs permettant d'inclure ou d'exclure explicitement les événements de journaux.
    Note : L'option blacklist fonctionne uniquement pour les champs ; elle ne peut pas être utilisée pour bloquer le texte.
    exclude_fields (Facultatif) Paramètre permettant d'exclure des champs donnés d'une collecte. Vous pouvez fournir plusieurs valeurs sous la forme d'une liste séparée par des points-virgules. Par exemple, exclude_fields=EventId; ProviderName
    [winlog|section_name]
    channel=event_channel_name
    enabled=yes_or_no
    tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" }
  4. Enregistrez et fermez le fichier liagent.ini.

Exemple : Configurations

Reportez-vous aux exemples de configuration de [winlog| fournis ci-dessous.

[winlog|Events_Firewall ]
channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall 
enabled=no
[winlog|custom]
channel=Custom
tags={"ChannelDescription": "Events testing channel"}