您可以通过天翼云云日志服务提供的lmtagent采集器采集Windows事件日志。本文介绍如何通过日志服务控制台采集Windows事件日志。
前提条件
已经在目标Windows云主机上安装日志采集器lmtagent。
目标云主机持续产生日志。
创建步骤
登录云日志服务控制台。
左侧菜单栏点击“日志接入”,进入接入管理页面。
在“数据导入”模块中,点击“Windows事件日志”。
选择目标日志项目和日志单元,单击下一步。
在选择主机组页面,选择目标主机组。
在采集配置页面,设置事件采集规则,可以同时配置多个事件采集规则,每个采集规则的字段说明如下:
字段 说明 事件通道 指采集应用程序通道中的事件日志,包括Application、Security、Setup、System。可在Windows系统中查看通道名称信息。 采集起始点
支持设置自定义时间与全量采集。 事件ID过滤 支持正向过滤单个值(例:20)或范围(例:0-20),也支持反向过滤单个值(例:-20)。多个过滤项之间可由逗号隔开,例:1-200,-100表示采集1-200范围内除了100以外的事件日志
事件来源过滤 根据事件来源过滤日志。您可以使用半角逗号(,)指定多个事件来源名称,例如设置为App1, App2表示只采集来源名字为App1和App2的事件日志,其他事件日志都会被忽略。事件名称需为全称,默认为空,表示采集所有来源的事件。 事件等级 根据Windows事件等级过滤采集。仅支持Windows Vista及以上的操作系统。 创建索引。默认开启全文索引,您也可以根据需要手动创建字段索引用于字段查询。
点击完成,即可完成导入任务创建。等待1分钟左右,在查询日志界面能查询到日志,则说明接入成功。
