Windows 事件記錄檔
Windows 事件記錄檔監控工具使用 WMI 身分驗證,偵聽指定裝置有無 Windows 事件。若要使用多個 Windows 事件記錄檔監控工具,請為每部裝置指定唯一監控工具。指定 Windows 事件記錄檔監控工具時,請確定有先為裝置指定認證。
提供監控工具的唯一名稱和說明,然後設定以下項目:
- :輸入用來比對的條件清單。只有符合這些表示式的記錄項目才會轉換成事件。系統會依從上到下的順序進行處理。由於系統會比對每個條件, 所以會將結果套用到下一個條件,直到所有條件比對完成為止。對於包含 AND 和 OR 的整組複雜條件,這個順序邏輯可能產生意外結果。因次建議您最好選擇多個被動監控工具,而非複雜的整組條件,讓條件保持簡潔。無法避免複雜的條件時,建議您在整組條件的開頭就將所有 OR 條件編為一組,接著將 AND 編為一組。按一下 可加入或編輯條件,按一下 可移除方塊中的條件。
- :按一下 啟動正規表示式編輯工具,以便建立、測試表示式,並與可能接收的承載資料進行比較。
若您有多個承載資料「match on」表示式,就必須以「OR」邏輯連結,而非「AND」邏輯連結。若您有兩個表示式,一個設為「AB」,另一個是「BA」,則涵蓋以下任何項目的 Trap 可比對成功:「AB」或「BA」或「ABBA」。