使用 Windows 事件欄位和運算子建立篩選器運算式。
篩選器運算式運算子
| 運算子 | 說明 |
|---|---|
| ==, ! = | 等於和不等於。同時搭配使用數字欄位和字串欄位。 |
| >=, >, <, <= | 大於或等於、大於、小於、小於或等於。僅搭配使用數字欄位。 |
| &, |, ^, ~ | 位元 AND、OR、XOR 以及補充運算子。僅搭配使用數字欄位。 |
| 和、或 | 邏輯 AND 和 OR。用於透過合併簡單運算式來建立複雜運算式。 |
| not | 一元邏輯 NOT 運算子。用於反向運算式的值。 |
| () | 在邏輯運算式中使用括號來變更評估的順序。 |
Windows 事件欄位
您可以在篩選器運算式中使用下列 Windows 事件欄位。
| 欄位名稱 | 欄位類型 |
|---|---|
| 主機名稱 | 字串 |
| Text | 字串 |
| 提供者名稱 | 字串 |
| 事件來源名稱 | 字串 |
| 事件識別碼 | 數字 |
| 事件記錄識別碼 | 數字 |
| Channel | 字串 |
| 使用者識別碼 | 字串 |
| Level | 數字
您可以使用下列預先定義的常數
|
| Task | 數字 |
| OpCode | 數字 |
| Keywords | 數字
您可以使用下列預先定義的位元遮罩
|
範例
收集所有重大、錯誤以及警告事件
[winlog|app] channel = Application whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO
僅從 「安全性」通道收集「稽核失敗」事件
[winlog|security] channel = Security whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE