Windows 이벤트 채널에 대한 필터를 설정하여 로그 이벤트를 명시적으로 포함하거나 제외할 수 있습니다.
whitelist 및 blacklist 매개 변수를 사용하여 필터 식을 평가할 수 있습니다. 필터 식은 이벤트 필드 및 연산자로 구성된 부울 식입니다.
참고:
blacklist 옵션은 필드에만 작동하며 텍스트를 차단하는 데 사용할 수 없습니다.
- whitelist 매개 변수는 필터 식이 0 이외의 값으로 평가되는 로그 이벤트만 수집합니다. 이 매개 변수를 생략하면 값은 암시적으로 1이 됩니다.
- blacklist 매개 변수는 필터 식이 0 이외의 값으로 평가되는 로그 이벤트를 제외합니다. 기본값은 0입니다.
Windows 이벤트 필드 및 연산자의 전체 목록은 이벤트 필드 및 연산자 항목을 참조하십시오.
사전 요구 사항
vRealize Log Insight Windows 에이전트가 설치된 Windows 시스템에 로그인하고 서비스 관리자를 시작하여 vRealize Log Insight 에이전트 서비스가 설치되었는지 확인합니다.
프로시저
예: 필터 구성
다음과 같이 오류 이벤트만 수집하도록 에이전트를 구성할 수 있습니다.
[winlog|Security-Error] channel = Security whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR
다음과 같이 애플리케이션 채널에서 VMware 네트워크 이벤트만 수집하도록 에이전트를 구성할 수 있습니다.
[winlog|VMwareNetwork] channel = Application whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"
다음과 같이 보안 채널에서 특정 이벤트를 제외한 모든 이벤트를 수집하도록 에이전트를 구성할 수 있습니다.
[winlog|Security-Verbose] channel = Security blacklist = EventID == 4688 or EventID == 5447