Мониторы
Пассивные мониторыЖурн. соб. Windows
МониторыПассивные мониторыЖурн. соб. Windows
Монитор журнала событий Windows используют проверку данных WMI для прослушивает событий Windows на устройствах, которым он назначен. Для использования нескольких мониторов журнала событий Windows, назначьте уникальный монитор для каждого устройства. При назначении монитора журнала событий Windows сначала убедитесь, что устройству назначены учетные данные.
Введите уникальное имя и описание для монитора, после чего настройте следующее:
) для запуска диалогового окна «Условие WinEvent», чтобы создать условие для поиска совпадения, затем при необходимости повторите для составления списка условий. В события будут преобразовываться только те записи журнала, которые совпадают с данными выражениями. Условия обрабатываются последовательно сверху вниз. При оценке каждого условия, результаты применяются к следующему условию, до окончания оценки всех условий. Для сложных наборов условий с обоими логическими операторами «И» и «ИЛИ», последовательная логика может давать результаты, отличные от ожидаемых. Мы рекомендуем использовать простые условия и несколько пассивных мониторов вместо сложных наборов условий. Если сложные условия исключить невозможно, рекомендуется группировать все условия «ИЛИ» вместе в начале набора условий, с последующими «И». Щелкните (
) для добавления или изменения условия или (
) для удаления условия из списка.) для просмотра Редактора выражений правил для создания и проверки выражения и сравнения его с потенциальными полезными данными. Щелкните () для добавления или изменения выражения или () для удаления выражения из списка.Important: Если вводится несколько выражений для совпадения с полезной нагрузкой, они соединяются логическим ИЛИ, а не логическим И. Если у вас есть два выражения, одно установленное на "AB" и второе на "BA", они совпадают с ловушкой, содержащей любое из следующего: "AB" или "BA" или "ABBA".