您可以利用本機 liagent.ini 檔案 [server|<dest_id>] 區段中的篩選選項,提供代理程式傳送到目的地的資訊。
選項為以下其中一個格式:
filter = {collector_type; collector_filter; event_filter}
| 篩選類型 | 說明 |
|---|---|
| collector_type | 定義收集器類型而以逗號分隔的清單。支援的值為 filelog 或 winlog。如果未提供值,則會使用所有收集器類型。 |
| collector_filter | 以 regex 格式指定收集器區段的名稱。例如,vcops_.* 表示開頭為「vcops_」的所有收集器區段。 |
| event_filter | 篩選與收集器區段中接受清單或封鎖清單使用相同語法的記錄事件欄位。代理程式僅會傳送將運算式評估為 True 或為非零值的記錄事件。空白的 event_filter 一律會評估為 True。若要對記錄事件使用 event_filter,您必須在適當的收集器區段中,針對欄位擷取定義剖析器。如果由於收集的記錄事件中缺乏欄位而無法評估運算式,則會捨棄事件。 |
以逗號分隔即可指定多個篩選器運算式,如下列範例所示:
filter=
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
如果訊息符合目的地目標的多組篩選器條件組合,則僅會傳送一次。
| 篩選器 | 意義 |
|---|---|
| filter= {winlog;Microsoft.*;} |
僅在事件名稱開頭為「Microsoft」時,才會傳送來自 winlog 收集器的記錄事件。 |
| filter= {winlog;Microsoft.*; eventid == 1023} |
僅在事件名稱開頭為「Microsoft」且事件識別碼等於 1023 時,才會傳送來自 winlog 收集器的記錄事件。 |
| filter= {;.*;} |
預設的篩選值。傳送來自所有來源的所有記錄事件。 |
| filter= {winlog;.*;} | 傳送來自 winlog 區段的所有記錄事件。 |
| filter= {filelog;syslog;facility<5} | 如果設施小於 5,則傳送來自 [filelog|syslog] 區段的記錄事件。[filelog|syslog] 區段必須具有擷取設施欄位的剖析器。否則,系統會略過所有事件。 |
| filter= {;;} | 不比對任何記錄事件。使用此語法以停用記錄轉送。 |
下列範例會將篩選新增到前一個範例中第二個目的地的組態。
; The second destination receives just syslog events through the plain syslog protocol.
[server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
下一個範例使用更複雜的篩選器運算式。
; This destination receives vRealize Operations events if they have the level field equal
;to "error" or "warning" and they are collected by sections whose name begins with "vrops-"
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}
以逗號分隔即可指定多個篩選器運算式,如下列範例所示。
filter= e.
{winlog;Micr.*;},{filelog;apache-access;level=="error"}
