ローカルの liagent.ini ファイルの [server|<dest_id>] セクションにあるフィルタ オプションを使用して、エージェントが宛先に送信する情報を提供できます。
オプションは、次の形式です。
filter = {collector_type; collector_filter; event_filter}
| フィルタのタイプ | 説明 |
|---|---|
| collector_type | コレクタ タイプを定義するコンマ区切りのリスト。サポートされる値は、filelog または winlog です。値が提供されていない場合は、すべてのコレクタ タイプが使用されます。 |
| collector_filter | コレクタ セクションの名前を正規表現形式で指定します。たとえば、vcops_.* は、「vcops_」で始まるすべてのコレクタ セクションを意味します。 |
| event_filter | ログ イベント フィールドのフィルタは、コレクタ セクションの承認リストまたは拒否リストと同じ構文を使用します。エージェントは、式が True またはゼロ以外の値に評価されるログ イベントのみを送信します。空の event_filter は常に True と評価されます。ログ イベントで event_filter を使用するには、フィールド抽出のために適切なコレクタ セクション内でパーサーが定義されている必要があります。収集されたログ イベントにフィールドがないために式を評価できない場合、そのイベントはドロップされます。 |
複数のフィルタ式を指定する場合は、次の例に示すようにコンマで区切ります。
filter=
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
メッセージが、宛先ターゲットのフィルタ基準セットを複数満たしている場合、メッセージは 1 回だけ送信されます。
| フィルタ | 意味 |
|---|---|
| filter= {winlog;Microsoft.*;} |
イベント名が「Microsoft」で始まる場合のみ winlog コレクタからログ イベントを送信します。 |
| filter= {winlog;Microsoft.*; eventid == 1023} |
イベント名が「Microsoft」で始まり、イベント ID が 1023 に等しい場合のみ、winlog コレクタからログ イベントを送信します。 |
| filter= {;.*;} |
デフォルトのフィルタ値です。すべてのソースからすべてのログ イベントを送信します。 |
| filter= {winlog;.*;} | winlog セクションからすべてのログ イベントを送信します。 |
| filter= {filelog;syslog;facility<5} | facility が 5 未満の場合、[filelog|syslog] セクションからログ イベントを送信します。[filelog|syslog] セクションには facility フィールドを抽出するパーサーが必要です。それ以外の場合、すべてのイベントはスキップされます。 |
| filter= {;;} | ログ イベントを照合しません。ログの転送を無効にするには、この構文を使用します。 |
次の例では、前の例の 2 番目の宛先の構成にフィルタを追加します。
; The second destination receives just syslog events through the plain syslog protocol.
[server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
次の例では、より複雑なフィルタ式を使用します。
; This destination receives vRealize Operations events if they have the level field equal
;to "error" or "warning" and they are collected by sections whose name begins with "vrops-"
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}
複数のフィルタ式を指定する場合は、次の例に示すようにコンマで区切ります。
filter= e.
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
