Windows イベント チャネルのフィルタを設定して、ログ イベントを明示的に含めるか、除外します。

フィルタ式を評価するには、whitelistおよびblacklist パラメータを使用します。フィルタ式は、イベント フィールドおよび演算子で構成されるブール式です。

注: blacklist オプションはフィールドに対してのみ機能し、テキストをブロックするためには使用できません。
  • whitelist パラメータは、フィルタ式が非ゼロと評価されたログ イベントのみを収集します。このパラメータを省略する場合、値は暗黙の値 1 です。
  • blacklist パラメータは、フィルタ式が非ゼロと評価されたログ イベントを除外します。デフォルト値は 0 です。

Windows イベントおよび演算子の完全なリストについては、イベントのフィールドおよび演算子 を参照してください。

前提条件

VMware Aria Operations for LogsWindows エージェントをインストールした Windows マシンにログインし、サービス マネージャを起動して VMware Aria Operations for Logs エージェント サービスがインストールされていることを確認します。

手順

  1. VMware Aria Operations for Logs Windows エージェントのプログラム データ ディレクトリに移動します。
    %ProgramData%\VMware\Log Insight Agent
  2. 任意のテキスト エディタで liagent.ini を開きます。
  3. [winlog|] セクションに whitelist または blacklist パラメータを追加します。
    例: 
    [winlog|unique_section_name]
channel = event_channel_name
blacklist = filter_expression
  4. Windows イベント フィールドおよび演算子を使用してフィルタ式を作成します。
    例: 
    whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
  5. liagent.ini ファイルを保存して閉じます。

例: フィルタ構成

たとえば次のように、エラー イベントのみを収集するようにエージェントを構成できます。 

[winlog|Security-Error]
channel = Security
whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR

たとえば次のように、アプリケーション チャネルから VMware ネットワーク イベントのみを収集するようにエージェントを構成できます。 

[winlog|VMwareNetwork]
channel = Application
whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"

たとえば次のように、セキュリティ チャネルから特定のイベント以外のすべてのイベントを収集するようにエージェントを構成できます。 

[winlog|Security-Verbose]
channel = Security
blacklist = EventID == 4688 or EventID == 5447