Analyseurs
Analyseurs passifsJournal des événements Windows
AnalyseursAnalyseurs passifsJournal des événements Windows
L'analyseur du journal des événements Windows utilise l'authentification WMI pour écouter les événements Windows sur les périphériques auxquels il est assigné. Pour utiliser plusieurs analyseurs du journal des événements Windows, attribuez un analyseur unique à chaque périphérique. Lors de l'attribution d'un analyseur du journal des événements Windows, assurez-vous d'abord que le périphérique dispose d'authentifiants attribués.
Saisissez un nom et une description uniques pour l'analyseur, puis configurez les paramètres suivants :
) pour ouvrir la boîte de dialogue Condition d'événement Windows afin de créer une condition à faire correspondre, puis répétez l'opération pour compléter une liste des conditions, si nécessaire. Seules les entrées du journal qui correspondent à ces expressions sont converties en événements. Les conditions sont traitées dans l'ordre, de haut en bas. Au fur et à mesure que chaque condition est évaluée, les résultats sont appliqués à la condition suivante jusqu'à ce que toutes les conditions aient été évaluées. Pour des jeux de conditions complexes impliquant les logiques AND et OR, cette logique en série peut produire différents résultats. Nous vous recommandons de conserver ces conditions simples en optant pour plusieurs Analyseurs passifs plutôt que des jeux de conditions complexes. Lorsque l'utilisation de conditions complexe est inévitable, nous vous recommandons de regrouper toutes les conditions OR ensemble au début du jeu de conditions, suivies par les conditions AND. Cliquez sur (
) pour ajouter ou modifier une condition ou (
) pour supprimer une condition de la boîte.pour lancer l'Éditeur d'expressions de règles afin de créer une expression ; testez cette expression et comparez-la avec des charges utiles potentielles. Cliquez sur () pour ajouter ou modifier une expression ou () pour supprimer une expression de la boîte.Important: Si plusieurs charges utiles « correspondent » à des expressions, elles sont liées par une logique « OR » et non une logique « AND ». Si vous avez deux expressions, une définie sur « AB » et l'autre sur « BA », elles correspondent aux interruptions contenant les éléments suivants : « AB » ou « BA » ou « ABBA ».