Windows 이벤트 필드 및 연산자를 사용하여 필터 식을 작성할 수 있습니다.

필터 식 연산자

연산자 설명
==, != 같음 및 같지 않음. 숫자 필드 및 문자열 필드 모두에 사용할 수 있습니다.
>=, >, <, <= 크거나 같음, 보다 큼, 보다 작음, 작거나 같음. 숫자 필드에만 사용할 수 있습니다.
&, |, ^, ~ 비트 AND, OR, XOR 및 보수 연산자. 숫자 필드에만 사용할 수 있습니다.
and, or 논리 AND 및 OR. 단순 식을 결합하여 복합 식을 작성하는 데 사용합니다.
아님 단항 논리 NOT 연산자. 식의 값을 반전하는 데 사용합니다.
() 연산 순서를 변경하기 위해 논리 식에 괄호를 사용합니다.

Windows 이벤트 필드

필터 식에 다음 Windows 이벤트 필드를 사용할 수 있습니다.

필드 이름 필드 유형
호스트 이름 문자열
텍스트 문자열
ProviderName 문자열
EventSourceName 문자열
EventID 숫자
EventRecordID 숫자
채널 문자열
UserID 문자열
수준 숫자
다음과 같은 미리 정의된 상수를 사용할 수 있습니다.
  • WINLOG_LEVEL_SUCCESS = 0
  • WINLOG_LEVEL_CRITICAL = 1
  • WINLOG_LEVEL_ERROR = 2
  • WINLOG_LEVEL_WARNING = 3
  • WINLOG_LEVEL_INFO = 4
  • WINLOG_LEVEL_VERBOSE = 5
작업 숫자
OpCode 숫자
키워드 숫자
다음과 같은 미리 정의된 비트 마스크를 사용할 수 있습니다.
  • WINLOG_KEYWORD_RESPONSETIME = 0x0001000000000000;
  • WINLOG_KEYWORD_WDICONTEXT = 0x0002000000000000;
  • WINLOG_KEYWORD_WDIDIAGNOSTIC = 0x0004000000000000;
  • WINLOG_KEYWORD_SQM = 0x0008000000000000;
  • WINLOG_KEYWORD_AUDITFAILURE = 0x0010000000000000;
  • WINLOG_KEYWORD_AUDITSUCCESS = 0x0020000000000000;
  • WINLOG_KEYWORD_CORRELATIONHINT = 0x0040000000000000;
  • WINLOG_KEYWORD_CLASSIC = 0x0080000000000000;

다음은 모든 중요, 오류 및 경고 이벤트를 수집합니다. 

[winlog|app]
channel = Application
whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO

다음은 보안 채널에서 감사 실패 이벤트만 수집합니다. 

[winlog|security]
channel = Security
whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE