配置日志源

要配置新的 Windows 事件日志或 Syslog 源，请执行以下操作：

1. 在主菜单中选择设置 > 日志管理 > 日志数据源设置，启动日志数据源设置界面。
2. 首先，单击 ，然后从显示的选项中选择 Windows 事件日志或 Syslog。
3. 单击 （在添加设备以收集日志对话框中），然后使用提供的组/设备选择器浏览并选择设备。
4. 选择要用作日志源的设备后，单击应用。

   Tip: 单击设备名称/IP 地址时按住 Ctrl 键可以选择多个设备。

   Tip: 如果您正在配置 WinEvent 日志收集，可以单击测试来验证关联的凭据，以确保从所选设备成功收集日志数据。

5. 单击下一步。
6. 选择要收集的日志和要应用的摄取筛选条件。
   • 如果您正在配置 WinEvent 日志收集，则需要考虑几个选项。首先，使用单选按钮仅收集标准日志或特定日志。启用仅标准日志时，使用提供的复选框标记要收集的应用程序、系统和/或安全日志数据。启用具体日志后，使用提供的复选框按名称选择单个日志。这两个选项都允许每个日志类型摄取筛选条件应用程序，以及批量应用摄取筛选条件控件，该控件将单个摄取筛选条件应用于对话框中显示的所有项目。
   • 如果您正在配置 Syslog 收集，只需使用适用的下拉菜单选择要应用于每个日志源的摄取筛选条件。
7. 完成后，单击保存。

您配置的日志源现在显示在主日志数据源设置对话框中。除了作为配置新日志源的启动点外，此界面还允许您编辑和删除日志源，以及启用/禁用日志源，并使用批量应用摄取筛选条件控件将单个摄取筛选条件应用于多个（WinEvent）日志源。

请注意以下特定于批量应用摄取筛选条件功能的事项：

• 如果您的设备选择包含单个日志类型，并且所选筛选条件的类型相同，则会更新所有日志。
• 如果您的设备选择包含单个日志类型，并且所选筛选条件不是同一类型，则会显示一条消息“选定的日志源与摄取筛选条件的类型不匹配。”
• 如果您的设备选择包含多个日志类型，则所选筛选条件将应用于设备选择中与筛选条件类型匹配的所有日志。

Tip:批量应用摄取筛选条件功能遵循使用对话框顶部的搜索字段返回的结果。默认情况下，批量筛选条件应用于所选摄取筛选条件类型的所有日志。要将批量摄取筛选条件更改应用于特定日志名称，请在应用筛选条件之前使用搜索字段标识并选择目标日志名称。

您也可以直接从设备属性界面上的日志选项卡访问此工作流。查看要配置为日志源的设备的设备属性时，请选择日志选项卡，然后继续执行前面描述的步骤，首先单击 图标，访问流量分析仪表板。如果您从设备属性配置日志数据收集，必须注意，添加设备以收集日志对话框将自动填充设备作为潜在日志源；不需要选择设备，因此在这种情况下无法访问组/设备选择器工具。

See Also 日志管理 关于日志管理 日志管理设置 创建筛选条件 配置日志管理筛选频率临界值 日志管理仪表板 日志查看器（整页报告）