Windows イベントログモニタは、WMI 認証を使用して、それが割り当てられているデバイスで Windows イベントをリスニングします。複数の Windows イベントログモニタを使用するには、デバイスごとに固有のモニタを割り当てます。Windows イベントログモニタを割り当てる場合、まず、そのデバイスに認証情報が割り当てられていることを確認してください。

Windows イベントログのパッシブモニタの設定にアクセスするには、[設定] メニューから [ライブラリ] > [モニタ] を選択します。次に、[追加] アイコン (+) をクリックし、表示されるドロップダウンメニューから [パッシブモニタ] を選択します。表示されるオプションから [Windows イベントログモニタ] を選択し、[選択] をクリックします。

モニタの一意の [名前][説明] を入力し、次の項目を設定します。

  • [条件]。() をクリックして [WinEvent 条件] ダイアログを開き、照合する条件を作成します。次に、必要に応じて操作を繰り返し、条件のリストを完了させます。これらの式に一致したログエントリだけがイベントに変換されます。条件は上から順に処理されます。1 つの条件を評価した後、その結果を次の条件に適用し、同様にしてすべての条件を評価します。
    警告: AND 演算子と OR 演算子を併用する組み合わせはサポートされていません。
  • [メッセージ]。() をクリックしてルール式エディタを起動します。このエディタで式を作成してテストし、ペイロードの構成要素と比較できます。() をクリックして式を追加または編集するか、() をクリックしてボックスから式を削除します。
重要: ペイロードに対する「一致条件」式が複数ある場合は、「AND」論理演算子ではなく「OR」論理演算子でつなぎます。式が 2 つあり、1 つは「AB」で、もう 1 つは「BA」の場合、「AB」、「BA」、「ABBA」のいずれかを含むトラップと一致します。