Windows 事件日志
“Windows 事件日志”监控器使用 WMI 身份验证来侦听所分配的设备上的 Windows 事件。要使用多个“Windows 事件日志”监控器,请为每台设备分配唯一的监控器。在分配“Windows 事件日志”监控器时,先确保设备已分配到凭据。
为监控器提供唯一名称和描述,然后配置以下信息:
- 。输入用来匹配的条件列表。只有符合这些表达式的日志条目才会转换成事件。系统按从上到下的顺序处理各条件。在评估每个条件时,其结果应用到下一个条件,直到评估了所有条件。对于包含 AND 和 OR 的复杂条件组,这个顺序逻辑可能产生意外结果。因此建议您最好选择多个被动监控器,而非复杂的条件组,让条件保持简洁。无法避免复杂的条件时,建议您将所有 OR 条件一起放在条件组的开头,然后是 AND 条件。单击可添加或编辑条件,单击可移除对话框中的条件。
- 。单击以启动“规则表达式编辑器”,用于创建、测试表达式,并与潜在的有效负载比较。
若您有多个有效负载“匹配”表达式,则它们以“OR”逻辑链接,而非“AND”逻辑。若您有两个表达式,一个设为“AB”,另一个是“BA”,则包含以下任何项目的陷阱可匹配成功:“AB”或“BA”或“ABBA”。