今年早些时候,我们添加了日志转发基础设施代理,为您提供将基础架构日志发送到的能力新的遗物一体。
在压倒性的请求之后,我们已经扩展了这种功能,所以你可以转发Windows事件用于新遗物的日志管理遥测数据平台。现在,如果您是Windows用户,您可以将所有日志发送到新的遗物,或者使用更新的过滤器,以确切地选择您对基于其eventiD转发的任何日志类型和特定消息。
Windows事件日志 - 重要的可观察性数据
Windows事件日志记录为应用程序(和操作系统)提供标准,集中式方式,以记录重要的软件和硬件事件。事件日志记录服务记录来自各种源的事件,并将其存储在一个名为事件日志的单个集合中。
Windows事件日志是我们的Windows用户的重要可观察性数据来源,实现此功能使得可以轻松地将该数据变为新的遗物。在本文中,我们将快速向您展示如何利用此有用功能。
在新遗物中开始使用Windows事件日志
要开始将Windows事件日志发送到新的遗物,您只需在我们的中添加简单的YAML配置文件基础架构代理的配置。看起来像这样:
日志: - 名称:Windows-Security Winlog:频道:安全性收集 - 赛事: - 4624 - 4265 - 4700-4800 exclude-eventids: - 4735
如您所见,您必须定义您希望侦听基础架构代理的频道。对于此特定频道,您还可以定义应收集哪些事件或应排除在一起。(请注意,不包括的规则优先于包括一个)。这可以通过列出单个事件IID或定义范围来完成。
如果未定义过滤器,则该通道的所有日志将被转发为新的遗物。要配置其他频道,您必须定义类似于上面的示例的另一个配置块。一旦确定了配置文件,您应该开始在新的遗物日志中查看Windows事件。
