WinEvent 条件

• 不能是：选择此选项可过滤字符串的匹配条件。
• 参数：选择要匹配的 Windows 事件记录文件参数。
• 类别：此事件的子类别。不同来源会有不同的子类别。
• CategoryString：子类别的翻译。不同来源会有不同的翻译。
• 计算机：发生事件的计算机。
• 事件 ID：事件标识符。这是产生事件记录文件项目的来源专用代号，搭配“来源”即可区分 Windows NT 事件类型。
• 事件类型：事件的类型。

  事件类型的数值与意义：

  1. 错误
  2. 警告
  3. 信息
  4. 安全审核成功
  5. 安全审核失败
• 记录文件：Windows NT 事件记录文件的名称。
• 说明：使用此参数可简述所记录的事件。
• 来源：产生项目的来源 (应用程序、服务、驱动程序、子系统) 名称。此参数搭配 EventIdentifier 时，即可区分 Windows NT 事件类型。
• 类型：事件的类型。这是列举字符串。建议您尽量使用 EventType 属性而非 Type，因为 Type 是字符串。字符串都已中文化，所以使用 Type 会无法在英文以外的操作系统上匹配。
• 用户：发生事件时，登录用户的用户名称。若无法判断用户名称则为 NULL。
• 运算符：选择可将参数链接到数值的运算符。

  =, >, <, > =, < =, ! =

• 值：输入所选参数的值。
• 和/或：选择“和/或”即可将其他条件添加字符串。