Vous pouvez configurer le filtrage des canaux d'événements Windows afin d'inclure ou d'exclure des événements de journaux de façon explicite.

Vous pouvez utiliser les paramètres whitelist et blacklist pour évaluer une expression de filtre. L'expression de filtre est une expression booléenne constituée de champs d'événements et d'opérateurs.

Note : L'option blacklist fonctionne uniquement pour les champs ; elle ne peut pas être utilisée pour bloquer le texte.
  • Le paramètre whitelist ne collecte que les événements de journaux pour lesquels l'expression de filtre indique une valeur différente de zéro. Si vous omettez ce paramètre, la valeur est un 1 implicite.
  • Le paramètre blacklist exclut les événements du journal pour lesquels l'expression du filtre indique une valeur non nulle. La valeur par défaut est 0.

Pour connaître la liste complète des champs d'événements et des opérateurs Windows, reportez-vous à Champs d'événements et opérateurs.

Conditions préalables

Connectez-vous à la machine Windows sur laquelle vous avez installé vRealize Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service vRealize Log Insight Agent est installé.

Procédure

  1. Accédez au répertoire des données du programme de l'agent vRealize Log Insight Windows.
    %ProgramData%\VMware\Log Insight Agent
  2. Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque.
  3. Ajoutez un paramètre whitelist ou blacklist à la section [winlog|].
    Par exemple 
    [winlog|unique_section_name]
channel = event_channel_name
blacklist = filter_expression
  4. Créez une expression de filtre à partir de champs d'événements et d'opérateurs Windows.
    Par exemple 
    whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
  5. Enregistrez et fermez le fichier liagent.ini.

Exemple : Configurations de filtres

Vous pouvez configurer l'agent pour qu'il collecte uniquement les événements d'erreur, par exemple 

[winlog|Security-Error]
channel = Security
whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR

Vous pouvez configurer l'agent pour qu'il collecte uniquement les événements Réseau VMware du canal Application, par exemple 

[winlog|VMwareNetwork]
channel = Application
whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"

Vous pouvez configurer l'agent pour qu'il collecte tous les événements du canal Sécurité, sauf des événements particuliers, par exemple 

[winlog|Security-Verbose]
channel = Security
blacklist = EventID == 4688 or EventID == 5447