日志收集过滤器

    最后更新于:

    EventLog Analyzer 允许您通过配置日志收集过滤器,仅收集和处理必要的日志。

    创建日志收集过滤器的步骤

    1. 在事件日志分析器中,导航至设置 → 管理员设置 → 日志收集过滤器
    2. 点击“+添加过滤器”按钮。
    3. 过滤器名称字段中输入唯一名称。
    4. “选择日志格式”下拉菜单中选择日志格式。可选下列任一日志格式:
      • Windows 日志
      • 系统日志
      • IBM AS/400 日志
    5. 点击“选择设备”字段中的+按钮以选择设备组。
      Log Collection Filter
    6. 在"选择设备"弹出菜单中,您可搜索并选择网络中特定设备应用过滤器,或通过勾选左侧窗格对应复选框并点击"添加"来选择整个设备组。
    7. 过滤条件框中,您将看到“排除”和“仅收集”下拉菜单,用于配置过滤器执行以下任一操作:
      • 排除所有符合指定过滤条件的日志。
      • 仅收集满足指定过滤条件的日志。
      注意:每个过滤器仅能配置单一操作。若需对同一设备集或设备组同时执行日志收集与排除操作,需分别创建独立过滤器。
      Log Collection Filter
    8. 点击+号可通过AND/OR等条件运算符添加多重筛选条件。
    9. 您也可通过点击+添加组配置多个过滤组,并使用AND 或OR运算符将其关联,从而创建高级过滤器。
    10. 点击完成以保存创建的过滤器。

    查看和管理日志收集过滤器

    您可在"日志收集过滤器"页面通过点击相应图标查看、启用/禁用、编辑及删除所有已创建的过滤器。请注意该页面默认存在的过滤器仅可禁用而不可删除。

    将鼠标悬停在"已配置设备/组"区域可查看特定过滤器关联的设备列表。通过"更多操作"下拉菜单可批量选择启用/禁用、导出及导入多个过滤器配置文件。

    Log Collection Filter
    注意

    以下是所有可使用日志收集过滤器选项的来源列表:

    • Windows日志。
    • IBM/400日志。
    • 仅限于Unix、思科、SonicWall、瞻博网络、PaloAlto、Fortinet、CheckPoint设备、NetScreen、WatchGuard、Sophos、Barracuda、华为、Meraki、惠普、Syslog、PfSense、FirePower、F5、Stormshield、戴尔、ForcePoint、Topsec和sangfor的Syslog日志格式。
    • 仅支持应用程序日志格式的 Sysmons、IIS 服务器(仅限事件查看器日志)、Oracle、终端、打印机、MSSQL 服务器日志(仅限事件查看器日志)和 Syslog 应用程序。
    • 云源日志格式仅支持AWS和SalesForce。