Windows 이벤트 채널을 Log Insight Windows Agent 구성에 추가할 수 있습니다. 그러면 Log Insight Windows Agent에서 로그 이벤트를 수집하여 vRealize Log Insight 서버로 보냅니다.

필드 이름은 제한됩니다. 다음 이름은 예약된 것이므로 필드 이름으로 사용할 수 없습니다.

  • event_type
  • hostname
  • source
  • text

사전 요구 사항

vRealize Log Insight Windows 에이전트가 설치된 Windows 시스템에 로그인하고 서비스 관리자를 시작하여 vRealize Log Insight 에이전트 서비스가 설치되었는지 확인합니다.

프로시저

  1. vRealize Log Insight Windows 에이전트의 프로그램 데이터 디렉토리로 이동합니다.
    %ProgramData%\VMware\Log Insight Agent
  2. 텍스트 편집기에서 liagent.ini 파일을 엽니다.
  3. 다음 매개 변수를 추가하고 환경에 맞게 값을 설정합니다.
    매개 변수 설명
    [winlog|section_name] 구성 섹션의 고유 이름입니다.
    channel Windows 애플리케이션에 기본 제공되는 이벤트 뷰어에 표시된 이벤트 채널의 전체 이름입니다. 정확한 채널 이름을 복사하려면 이벤트 뷰어에서 채널을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택한 후 전체 이름 필드의 컨텐츠를 복사합니다.
    enabled 구성 섹션을 사용 또는 비활성화하는 선택적 매개 변수입니다. 가능한 값은 yes 또는 no입니다(대/소문자를 구분하지 않음). 기본값은 yes입니다.
    tags

    수집된 이벤트의 필드에 사용자 지정 태그를 추가하는 선택적 매개 변수입니다. JSON 표기법을 사용하여 태그를 정의해야 합니다. 태그 이름에는 문자, 숫자 및 밑줄을 포함할 수 있습니다. 태그 이름은 문자 또는 밑줄로만 시작할 수 있으며 64자를 초과할 수 없습니다. 태그 이름은 대/소문자를 구분하지 않습니다. 예를 들어 tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" }를 사용하면 Tag_Name1은 중복 항목으로 무시됩니다. 태그 이름으로 event_type 및 timestamp를 사용할 수 없습니다. 동일한 선언 내의 중복 항목은 무시됩니다.

    대상이 syslog 서버인 경우 태그는 APP-NAME 필드를 재정의할 수 있습니다. 예를 들어 tags={"appname":"VROPS"}일 수 있습니다.

    whitelist, blacklist 로그 이벤트를 명시적으로 포함 또는 제외하는 선택적 매개 변수입니다.
    참고: blacklist 옵션은 필드에만 작동하며 텍스트를 차단하는 데 사용할 수 없습니다.
    exclude_fields (선택 사항) 수집 대상에서 개별 필드를 제외하는 매개 변수입니다. 여러 값은 세미콜론으로 구분된 목록으로 제공할 수 있습니다. 예를 들면 다음과 같습니다. exclude_fields=EventId; ProviderName
    [winlog|section_name]
    channel=event_channel_name
    enabled=yes_or_no
    tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" }
  4. liagent.ini 파일을 저장한 후 닫습니다.

예: 구성

다음 [winlog| 구성 예를 참조하십시오.

[winlog|Events_Firewall ]
channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall 
enabled=no
[winlog|custom]
channel=Custom
tags={"ChannelDescription": "Events testing channel"}