本节为 NT 事件监视器表提供示例条目,以使用 watch ntevent 指令监控 Windows 事件日志。 可以将这些条目添加到 sysedge.cf 文件中。
示例:在应用程序日志中搜索 Web 服务器消息
以下示例将新条目添加到表索引为 11 的代理 NT 事件监视器表中,以在应用程序日志中搜索 http Web 服务器应用程序消息并在发生匹配时发送重要级别为警告的陷阱:
watch ntevent 11 0x00 Application All 'http' '.*' 'Web Server messages' " warning
示例:在安全日志中搜索失败事件
以下示例将新条目添加到表索引为 12 的代理 NT 事件监视器表中,以在安全日志搜索表示登录失败的失败事件并在发生匹配时发送重要级别为严重的陷阱:
watch ntevent 12 0x00 Security Failure '.*' '.*' 'Access Failure - WARNING' " critical
示例:在应用程序日志中搜索特定事件
以下示例将新条目添加到表索引为 3 的代理 NT 事件监视器表中,以在应用程序日志搜索事件 ID 为 277 的事件:
watch ntevent 3 0x0100 Application All '.*' '\[277\]' 'Event ID 277' "
将事件 ID 添加到说明中。 [277\] 是代理将尝试匹配的说明字段。
需要使用反斜杠字符 (\),因为方括号 ([]) 是正则表达式匹配的特殊字符。
|
版权所有 © 2013 CA。
保留所有权利。
|
|