您可以針對 Windows 事件通道設定篩選器,以明確納入或排除記錄事件。

使用 whitelistblacklist 參數評估篩選器運算式。篩選器運算式是一種布林運算式,由事件欄位和運算子所組成。

備註: blacklist 選項僅適用於欄位,無法用於封鎖文字。
  • whitelist 參數僅收集篩選器運算式評估為非零的記錄事件。如果您省略此參數,則值為默許的 1。
  • blacklist 參數會排除篩選器運算式評估為非零的記錄事件。預設值為 0。

如需 Windows 事件欄位和運算子的完整清單,請參閱事件欄位和運算子

必要條件

登入已安裝 vRealize Log Insight Windows 代理程式的 Windows 機器,然後啟動服務管理員以確認 vRealize Log Insight 代理程式服務已安裝。

程序

  1. 導覽至 vRealize Log Insight Windows 代理程式的程式資料目錄。
    %ProgramData%\VMware\Log Insight Agent
  2. 在任一文字編輯器中開啟 liagent.ini 檔案。
  3. [winlog|] 區段新增 whitelistblacklist 參數。
    例如
    [winlog|unique_section_name]
    channel = event_channel_name
    blacklist = filter_expression
  4. 從 Windows 事件欄位和運算子建立篩選器運算式。
    例如
    whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
  5. 儲存並關閉 liagent.ini 檔案。

範例: 篩選器組態

您可以將代理程式設定為僅收集錯誤事件,例如

[winlog|Security-Error]
channel = Security
whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR

您可以將代理程式設定為僅從「應用程式」通道收集 VMware 網路事件,例如

[winlog|VMwareNetwork]
channel = Application
whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"

您可以將代理程式設定為從 「安全性」通道收集所有事件,但特定的事件除外,例如

[winlog|Security-Verbose]
channel = Security
blacklist = EventID == 4688 or EventID == 5447