使用 Windows 事件欄位和運算子建立篩選器運算式。

篩選器運算式運算子

運算子 說明
==, ! = 等於和不等於。同時搭配使用數字欄位和字串欄位。
>=, >, <, <= 大於或等於、大於、小於、小於或等於。僅搭配使用數字欄位。
&, |, ^, ~ 位元 AND、OR、XOR 以及補充運算子。僅搭配使用數字欄位。
和、或 邏輯 AND 和 OR。用於透過合併簡單運算式來建立複雜運算式。
not 一元邏輯 NOT 運算子。用於反向運算式的值。
() 在邏輯運算式中使用括號來變更評估的順序。

Windows 事件欄位

您可以在篩選器運算式中使用下列 Windows 事件欄位。

欄位名稱 欄位類型
主機名稱 字串
Text 字串
提供者名稱 字串
事件來源名稱 字串
事件識別碼 數字
事件記錄識別碼 數字
Channel 字串
使用者識別碼 字串
Level 數字
您可以使用下列預先定義的常數
  • WINLOG_LEVEL_SUCCESS = 0
  • WINLOG_LEVEL_CRITICAL = 1
  • WINLOG_LEVEL_ERROR = 2
  • WINLOG_LEVEL_WARNING = 3
  • WINLOG_LEVEL_INFO = 4
  • WINLOG_LEVEL_VERBOSE = 5
Task 數字
OpCode 數字
Keywords 數字
您可以使用下列預先定義的位元遮罩
  • WINLOG_KEYWORD_RESPONSETIME = 0x0001000000000000;
  • WINLOG_KEYWORD_WDICONTEXT = 0x0002000000000000;
  • WINLOG_KEYWORD_WDIDIAGNOSTIC = 0x0004000000000000;
  • WINLOG_KEYWORD_SQM = 0x0008000000000000;
  • WINLOG_KEYWORD_AUDITFAILURE = 0x0010000000000000;
  • WINLOG_KEYWORD_AUDITSUCCESS = 0x0020000000000000;
  • WINLOG_KEYWORD_CORRELATIONHINT = 0x0040000000000000;
  • WINLOG_KEYWORD_CLASSIC = 0x0080000000000000;

範例

收集所有重大、錯誤以及警告事件

[winlog|app]
channel = Application
whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO

僅從 「安全性」通道收集「稽核失敗」事件

[winlog|security]
channel = Security
whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE