Windows 事件記錄檔監控工具使用 WMI 身分驗證,偵聽指定裝置有無 Windows 事件。若要使用多個 Windows 事件記錄檔監控工具,請為每部裝置指定唯一監控工具。指定 Windows 事件記錄檔監控工具時,請確定有先為裝置指定認證。
提供監控工具的唯一名稱和說明,然後設定以下項目:
)來啟動 [WinEvent 條件] 對話方塊以建立一個要比對的條件,然後重複以完成列出清單上的條件(如果需要的話)。只有符合這些運算式的記錄項目才會轉換成事件。系統會依從上到下的順序進行處理。由於系統會比對每個條件, 所以會將結果套用到下一個條件,直到所有條件比對完成為止。對於包含 AND 和 OR 的整組複雜條件,這個順序邏輯可能產生意外結果。因次建議您最好選擇多個被動監控工具,而非複雜的整組條件,讓條件保持簡潔。無法避免複雜的條件時,建議您在整組條件的開頭就將所有 OR 條件編為一組,接著將 AND 編為一組。按一下(
)可新增或編輯條件,或者按一下(
)可移除方塊中的條件。)來啟動規則運算式編輯工具,以便建立、測試運算式,並與可能接收的承載資料進行比較。按一下()可新增或編輯運算式,或者按一下()可移除方塊中的運算式。Important: 若您有多個承載資料「match on」運算式,就必須以「OR」邏輯連結,而非「AND」邏輯連結。若您有兩個運算式,一個設為「AB」,另一個是「BA」,則涵蓋以下任何項目的 Trap 可比對成功:「AB」或「BA」或「ABBA」。
