로컬 liagent.ini 파일의 [server|<dest_id>] 섹션에서 필터 옵션을 사용하여 에이전트가 대상으로 전송하는 정보를 제공할 수 있습니다.
옵션은 다음과 같은 형식입니다.
filter = {collector_type; collector_filter; event_filter}
| 필터 유형 | 설명 |
|---|---|
| collector_type | 수집기 유형을 정의하는 쉼표로 구분된 목록입니다. 지원되는 값은 filelog 또는 winlog입니다. 값을 제공하지 않으면 모든 수집기 유형이 사용됩니다. |
| collector_filter | 수집기 섹션의 이름을 정규식 형식으로 지정합니다. 예를 들어, vcops_.*는 "vcops_"로 시작하는 모든 수집기 섹션을 나타냅니다. |
| event_filter | 로그 이벤트 필드에 대한 필터는 수집기 섹션에서 수락 목록 또는 거부 목록과 동일한 구문을 사용합니다. 에이전트는 표현식을 True 또는 0이 아닌 값으로 평가하는 로그 이벤트만 전송합니다. 비어 있는 event_filter는 항상 True로 평가합니다. 로그 이벤트에 event_filter를 사용하려면 필드 추출에 해당 수집기 섹션에 구문 분석기가 정의되어 있어야 합니다. 수집된 로그 이벤트에 필드가 없어서 식을 평가할 수 없는 경우 이벤트가 삭제됩니다. |
다음 예에 표시된 것처럼 둘 이상의 필터 식을 쉼표로 구분하여 지정할 수 있습니다.
filter=
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
하나의 메시지가 대상에 대해 둘 이상의 필터 기준을 충족하는 경우 한 번만 전송됩니다.
| 필터 | 의미 |
|---|---|
| filter= {winlog;Microsoft.*;} |
로그 이벤트 이름이 "Microsoft"로 시작하는 경우에만 winlog 수집기에서 이벤트를 전송합니다. |
| filter= {winlog;Microsoft.*; eventid == 1023} |
이벤트 이름이 "Microsoft"로 시작하고 이벤트 ID가 1023인 경우에만 winlog 수집기에서 로그 이벤트를 전송합니다. |
| filter= {;.*;} |
기본 필터 값입니다. 모든 소스에서 모든 로그 이벤트를 전송합니다. |
| filter= {winlog;.*;} | winlog 섹션에서 모든 로그 이벤트를 전송합니다. |
| filter= {filelog;syslog;facility<5} | 기능이 5보다 작은 경우 [filelog|syslog] 섹션에서 로그 이벤트를 전송합니다. [filelog|syslog] 섹션에는 기능 필드를 추출하는 구문 분석기가 있어야 합니다. 그렇지 않으면 모든 이벤트를 건너뜁니다. |
| filter= {;;} | 어떤 로그 이벤트도 일치시키지 않습니다. 로그 전달을 비활성화하려면 이 구문을 사용합니다. |
다음 예에서는 이전 예의 두 번째 대상 구성에 필터를 추가합니다.
; The second destination receives just syslog events through the plain syslog protocol.
[server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
다음 예는 좀 더 복잡한 필터 식을 사용합니다.
; This destination receives vRealize Operations events if they have the level field equal
;to "error" or "warning" and they are collected by sections whose name begins with "vrops-"
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}
다음 예에 표시된 것처럼 둘 이상의 필터 식을 쉼표로 구분하여 지정할 수 있습니다.
filter= e.
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
