Windows イベントのフィールドおよび演算子を使用して、フィルタ式を作成します。

フィルタ式の演算子

演算子 説明
==, ! = 等しいおよび等しくない。数値フィールドと文字列フィールドのいずれとも使用できます。
>=, >, <, <= 以上、より大きい、未満、以下。数値フィールドのみと使用します。
&, |, ^, ~ ビット AND、OR、XOR および補数演算子。数値フィールドのみと使用します。
and、or 論理 AND および OR。単純な式を組み合わせて複雑な式を作成するために使用します。
not 論理 NOT 単項演算子。式の値を逆にするために使用します。
() 評価の順序を変更するには、論理式で括弧を使用します。

Windows イベント フィールド

フィルタ式では次の Windows イベント フィールドを使用できます。

フィールド名 フィールド タイプ
Hostname 文字列
Text 文字列
ProviderName 文字列
EventSourceName 文字列
EventID 数値
EventRecordID 数値
Channel 文字列
UserID 文字列
Level 数値
次の定義済み定数を使用できます。
  • WINLOG_LEVEL_SUCCESS = 0
  • WINLOG_LEVEL_CRITICAL = 1
  • WINLOG_LEVEL_ERROR = 2
  • WINLOG_LEVEL_WARNING = 3
  • WINLOG_LEVEL_INFO = 4
  • WINLOG_LEVEL_VERBOSE = 5
タスク 数値
OpCode 数値
Keywords 数値
次の事前に定義されたビット マスクを使用できます。
  • WINLOG_KEYWORD_RESPONSETIME = 0x0001000000000000;
  • WINLOG_KEYWORD_WDICONTEXT = 0x0002000000000000;
  • WINLOG_KEYWORD_WDIDIAGNOSTIC = 0x0004000000000000;
  • WINLOG_KEYWORD_SQM = 0x0008000000000000;
  • WINLOG_KEYWORD_AUDITFAILURE = 0x0010000000000000;
  • WINLOG_KEYWORD_AUDITSUCCESS = 0x0020000000000000;
  • WINLOG_KEYWORD_CORRELATIONHINT = 0x0040000000000000;
  • WINLOG_KEYWORD_CLASSIC = 0x0080000000000000;

すべての重大、エラー、警告のイベントを収集します。 

[winlog|app]
channel = Application
whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO

セキュリティ チャネルから監査エラー イベントのみを収集します。 

[winlog|security]
channel = Security
whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE