Windows 이벤트 채널에 대한 필터를 설정하여 로그 이벤트를 명시적으로 포함하거나 제외할 수 있습니다.

whitelistblacklist 매개 변수를 사용하여 필터 식을 평가할 수 있습니다. 필터 식은 이벤트 필드 및 연산자로 구성된 부울 식입니다.

참고: blacklist 옵션은 필드에만 작동하며 텍스트를 차단하는 데 사용할 수 없습니다.
  • whitelist 매개 변수는 필터 식이 0 이외의 값으로 평가되는 로그 이벤트만 수집합니다. 이 매개 변수를 생략하면 값은 암시적으로 1이 됩니다.
  • blacklist 매개 변수는 필터 식이 0 이외의 값으로 평가되는 로그 이벤트를 제외합니다. 기본값은 0입니다.

Windows 이벤트 필드 및 연산자의 전체 목록은 이벤트 필드 및 연산자 항목을 참조하십시오.

사전 요구 사항

vRealize Log Insight Windows 에이전트가 설치된 Windows 시스템에 로그인하고 서비스 관리자를 시작하여 vRealize Log Insight 에이전트 서비스가 설치되었는지 확인합니다.

프로시저

  1. vRealize Log Insight Windows 에이전트의 프로그램 데이터 디렉토리로 이동합니다.
    %ProgramData%\VMware\Log Insight Agent
  2. 텍스트 편집기에서 liagent.ini 파일을 엽니다.
  3. [winlog|] 섹션에 whitelist 또는 blacklist 매개 변수를 추가합니다.
    예를 들면 다음과 같습니다.
    [winlog|unique_section_name]
    channel = event_channel_name
    blacklist = filter_expression
  4. Windows 이벤트 필드 및 연산자를 기반으로 필터 식을 생성합니다.
    예를 들면 다음과 같습니다.
    whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
  5. liagent.ini 파일을 저장한 후 닫습니다.

예: 필터 구성

다음과 같이 오류 이벤트만 수집하도록 에이전트를 구성할 수 있습니다.

[winlog|Security-Error]
channel = Security
whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR

다음과 같이 애플리케이션 채널에서 VMware 네트워크 이벤트만 수집하도록 에이전트를 구성할 수 있습니다.

[winlog|VMwareNetwork]
channel = Application
whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"

다음과 같이 보안 채널에서 특정 이벤트를 제외한 모든 이벤트를 수집하도록 에이전트를 구성할 수 있습니다.

[winlog|Security-Verbose]
channel = Security
blacklist = EventID == 4688 or EventID == 5447