Windows イベントログモニタは、WMI 認証を使用して、それが割り当てられているデバイスで Windows イベントをリスニングします。複数の Windows イベントログモニタを使用するには、デバイスごとに固有のモニタを割り当てます。Windows イベントログモニタを割り当てる場合、まず、そのデバイスに認証情報が割り当てられていることを確認してください。
モニタの一意の名前と説明を入力し、次の項目を設定します。
) をクリックして [WinEvent 条件] ダイアログを開き、照合する条件を作成します。次に、必要に応じて操作を繰り返し、条件のリストを完了させます。これらの式に一致したログエントリだけがイベントに変換されます。条件は上から順に処理されます。1 つの条件を評価した後、その結果を次の条件に適用し、同様にしてすべての条件を評価します。AND と OR の両方を含む複雑な条件セットの場合、このような時系列的な論理処理を行うと、意図しない結果をもたらす場合があります。最良の方法としては、複雑な条件セットに対して複数のパッシブモニタを指定することで条件を単純化することをお勧めします。複雑な条件が避けられない場合は、条件セットの初めに OR 条件だけをまとめて、その後に AND 条件をまとめてください。アイコン (
) をクリックして条件を追加または編集するか、アイコン (
) をクリックして条件をボックスから削除します。) をクリックしてルール式エディタを起動します。このエディタで式を作成してテストし、ペイロードの構成要素と比較できます。アイコン () をクリックして式を追加または編集するか、アイコン () をクリックして式をボックスから削除します。Important: ペイロードに対する「一致条件」式が複数ある場合は、「AND」論理演算子ではなく「OR」論理演算子でつなぎます。式が 2 つあり、1 つは「AB」で、もう 1 つは「BA」の場合、「AB」、「BA」、「ABBA」のいずれかを含むトラップと一致します。
