Windows イベントのフィールドおよび演算子を使用して、フィルタ式を作成します。
フィルタ式の演算子
| 演算子 | 説明 |
|---|---|
| ==, ! = | 等しいおよび等しくない。数値フィールドと文字列フィールドのいずれとも使用できます。 |
| >=, >, <, <= | 以上、より大きい、未満、以下。数値フィールドのみと使用します。 |
| &, |, ^, ~ | ビット AND、OR、XOR および補数演算子。数値フィールドのみと使用します。 |
| and、or | 論理 AND および OR。単純な式を組み合わせて複雑な式を作成するために使用します。 |
| not | 論理 NOT 単項演算子。式の値を逆にするために使用します。 |
| () | 評価の順序を変更するには、論理式で括弧を使用します。 |
Windows イベント フィールド
フィルタ式では次の Windows イベント フィールドを使用できます。
| フィールド名 | フィールド タイプ |
|---|---|
| Hostname | 文字列 |
| Text | 文字列 |
| ProviderName | 文字列 |
| EventSourceName | 文字列 |
| EventID | 数値 |
| EventRecordID | 数値 |
| Channel | 文字列 |
| UserID | 文字列 |
| Level | 数値
次の定義済み定数を使用できます。
|
| タスク | 数値 |
| OpCode | 数値 |
| Keywords | 数値
次の事前に定義されたビット マスクを使用できます。
|
例
すべての重大、エラー、警告のイベントを収集します。
[winlog|app] channel = Application whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
セキュリティ チャネルから監査エラー イベントのみを収集します。
[winlog|security] channel = Security whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE