Настройка источника данных журнала

Чтобы настроить новый журнал событий Windows или источник Syslog, выполните следующие действия:

Для запуска интерфейса настройки источника данных журнала выберите ПАРАМЕТРЫ > Управление журналами > Настройка источника данных журнала в главном меню.
Сначала нажмите , затем выберите из списка журнал событий Windows либо Syslog.
Щелкните в диалоговом окне Добавить устройство для сбора данных журнала, а затем найдите и выберите устройство, используя предоставленный переключатель группы/устройства.
После выбора устройства, которое будет использоваться в качестве источника данных журнала, нажмите Применить.
Tip: Можно выбрать несколько устройств, нажав и удерживая нажатой клавишу Ctrl, и щелкнув по именам/IP-адресам устройств.

Tip: При настройке сбора данных журнала WinEvent можно нажать кнопку Тест для валидации связанных учетных данных с целью успешного сбора данных журнала с выбранных устройств.
Нажмите кнопку Далее.
Выберите журналы и применимые фильтры приема.
- При настройке сбора данных для журнала WinEvent становится доступно несколько параметров. Во-первых, можно использовать переключатели для сбора данных только стандартных журналов или конкретных журналов. Если включены только стандартные журналы, установите флажки для сбора данных журналов приложений, системных журналов и журналов безопасности. Если выбран параметр Конкретные журналы, установите флажки для конкретных журналов по имени. Оба параметра позволяют применять фильтр приема к журналам определенного типа и выполнять групповое применение фильтров приема ко всем элементам, отображаемым в диалоговом окне.
- Если выполняется настройка сбора данных Syslog, просто выберите фильтр приема, который следует применить к каждому источнику журнала, используя соответствующее раскрывающееся меню.
По завершении нажмите Сохранить.

Настроенные источники данных журнала теперь отображаются в главном диалоговом окне «Настройка источника данных журнала». Данный интерфейс служит начальной точкой настройки нового источника данных журнала, позволяет изменять и удалять источники журналов, а также включать/отключать источники журналов и применять один фильтр приема к нескольким источникам журналов (WinEvent) с помощью элемента управления Групповое применение фильтра приема.

Обратите внимание на следующую специальную функцию Групповое применение фильтра приема:

Если выбранное устройство содержит один тип журнала и выбранный фильтр относится к тому же типу, все журналы обновляются.
Если выбранный тип устройства содержит один тип журнала, а выбранный фильтр не совпадает с ним, появится сообщение «Нет выбранных источников данных журнала, соответствующих типу фильтра приема».
Если выбранное устройство содержит несколько типов журналов, выбранный фильтр применяется ко всем соответствующим типам фильтров журнала в выбранных устройствах.

Tip: Функция группового применения фильтра приема учитывает результаты применения поля поиска в верхней части диалогового окна. По умолчанию групповой фильтр применяется ко всем журналам выбранного типа фильтра приема. Чтобы применить изменение группового фильтра приема к журналу с определенным именем, с помощью поля «Поиск» идентифицируйте и выберите целевое имя журнала, а затем примените фильтр.

Также доступ к этому рабочему процессу можно получить непосредственно на вкладке «Журналы» в интерфейсе свойств устройства. При просмотре свойств устройства, которое будет настроено в качестве источника данных журнала, выберите вкладку «Журналы», а затем выполните действия, которые были описаны ранее, начиная с нажатия на значок. Если вы настраиваете сбор данных журнала в свойствах устройства, учтите, что диалоговое окно Добавить устройство для сбора данных журнала заполняется автоматически, и устройство указывается как потенциальный источник журнала. Поскольку выбор устройства не является обязательным, средство переключения группы/устройства в данном сценарии недоступно.