Utilisez les champs d'événements et les opérateurs de Windows pour générer des expressions de filtre.
Opérateurs d'expression de filtre
| Opérateur | Description |
|---|---|
| ==, != | égal à et différent de. À utiliser avec des champs numériques et des champs de chaînes. |
| >=, >, <, <= | supérieur ou égal à, supérieur à, inférieur à, inférieur ou égal à. À utiliser uniquement avec des champs numériques. |
| &, |, ^, ~ | Opérations AND, OR, XOR au niveau du bit et opérateurs de complément. À utiliser uniquement avec des champs numériques. |
| and, or | AND et OR logiques. À utiliser pour générer des expressions complexes en combinant des expressions simples. |
| pas | Opérateur logique NOT unaire. À utiliser pour inverser la valeur d'une expression. |
| () | Utilisez des parenthèses dans une expression logique pour modifier l'ordre d'évaluation. |
Champs d'événements Windows
Vous pouvez utiliser les champs d'événements Windows suivants dans une expression de filtre.
| Nom du champ | Type de champ |
|---|---|
| Adresse Internet | string |
| Texte | string |
| ProviderName | string |
| EventSourceName | string |
| EventID | numeric |
| EventRecordID | numeric |
| Canal | string |
| UserID | string |
| Niveau | numeric
Vous pouvez utiliser les constantes prédéfinies suivantes.
|
| Tâche | numeric |
| OpCode | numeric |
| Mots clés | numeric
Vous pouvez utiliser les masques de bits prédéfinis suivants.
|
Exemples
Collecte de tous les événements critiques, d'erreur et d'avertissement
[winlog|app] channel = Application whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
Collecte uniquement des événements d'erreur d'audit à partir du canal de sécurité
[winlog|security] channel = Security whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE
