您可以針對 Windows 事件通道設定篩選器,以明確納入或排除記錄事件。
使用 whitelist 和 blacklist 參數評估篩選器運算式。篩選器運算式是一種布林運算式,由事件欄位和運算子所組成。
備註:
blacklist 選項僅適用於欄位,無法用於封鎖文字。
- whitelist 參數僅收集篩選器運算式評估為非零的記錄事件。如果您省略此參數,則值為默許的 1。
- blacklist 參數會排除篩選器運算式評估為非零的記錄事件。預設值為 0。
如需 Windows 事件欄位和運算子的完整清單,請參閱事件欄位和運算子。
必要條件
登入已安裝 vRealize Log Insight Windows 代理程式的 Windows 機器,然後啟動服務管理員以確認 vRealize Log Insight 代理程式服務已安裝。
程序
範例: 篩選器組態
您可以將代理程式設定為僅收集錯誤事件,例如
[winlog|Security-Error] channel = Security whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR
您可以將代理程式設定為僅從「應用程式」通道收集 VMware 網路事件,例如
[winlog|VMwareNetwork] channel = Application whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP"
您可以將代理程式設定為從 「安全性」通道收集所有事件,但特定的事件除外,例如
[winlog|Security-Verbose] channel = Security blacklist = EventID == 4688 or EventID == 5447