您可以將 Windows 事件通道新增至 Log Insight Windows Agent組態。 Log Insight Windows Agent將收集記錄事件,並將其傳送至 vRealize Log Insight 伺服器。

欄位名稱受到限制。下列名稱已保留,無法做為欄位名稱。

  • event_type
  • hostname
  • source
  • text

必要條件

登入已安裝 vRealize Log Insight Windows 代理程式的 Windows 機器,然後啟動服務管理員以確認 vRealize Log Insight 代理程式服務已安裝。

程序

  1. 導覽至 vRealize Log Insight Windows 代理程式的程式資料目錄。
    %ProgramData%\VMware\Log Insight Agent
  2. 在任一文字編輯器中開啟 liagent.ini 檔案。
  3. 新增下列參數,並設定您環境適用的值。
    參數 說明
    [winlog|section_name] 組態區段的唯一名稱。
    channel 事件通道的全名正如在事件檢視器內建 Windows 應用程式中顯示的名稱。若要複製正確的通道名稱,請在事件檢視器中的通道上按一下滑鼠右鍵,選取內容,並複製全名欄位的內容。
    enabled 用來啟用或停用組態區段的選擇性參數。可能的值為 yes 或 no (區分大小寫)。預設值為 yes。
    tags

    用於將自訂標籤新增至所收集事件之欄位的選擇性參數。使用 JSON 標記法定義標籤。標籤名稱可以包含字母、數字及底線。標籤名稱只能以字母或底線開頭,並且不能超過 64 個字元。標籤名稱不區分大小寫。例如,如果您使用 tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" },則 Tag_Name1 將因為重複而被忽略。您不能將 event_type 和時間戳記用作標籤名稱。同一宣告內的任何重複項目都將被忽略。

    如果目的地為 Syslog 伺服器,則標籤可以覆寫 APP-NAME 欄位。例如,tags={"appname":"VROPS"}。

    whitelist, blacklist 用來明確包含或排除記錄事件的選擇性參數。
    備註: blacklist 選項僅適用於欄位,無法用於封鎖文字。
    exclude_fields (選擇性) 用來從收集排除個別欄位的參數。您可以分號分隔之清單的形式提供多個值。例如,exclude_fields=EventId; ProviderName
    [winlog|section_name]
    channel=event_channel_name
    enabled=yes_or_no
    tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" }
  4. 儲存並關閉 liagent.ini 檔案。

範例: 組態

請參閱下列 [winlog| 組態範例。

[winlog|Events_Firewall ]
channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall 
enabled=no
[winlog|custom]
channel=Custom
tags={"ChannelDescription": "Events testing channel"}