配置 Windows 事件日志被动监控工具

Windows 事件日志被动监控工具可侦听指定设备有无 Windows 事件。Windows 事件日志记录设备上发生的 Windows 事件。如需 Windows 日志收集与报告的信息类型详细信息，请参阅 Microsoft 技术支持网站。

将“Windows 事件日志”被动监控工具指定给设备时，在建立被动监控工具之前，请确认设备是否有指定凭据。若要使用多个“Windows 事件日志”被动监控工具，请为每台设备指定专用的“Windows 事件日志”被动监控工具。

Windows 事件日志被动监视工具需要以下凭据：

• Windows

使用以下框配置 Windows 事件日志被动监视工具：

• 名称。输入被动监控器的唯一名称。此名称会显示在“监控工具库”中。
• 描述。（可选）输入被动监控器的简短说明。此描述显示在“监控工具库”中监控工具名称的旁边。
• 条件。单击编辑可输入 Windows 事件日志条件的列表以进行匹配，单击清除以从框中删除条件。只有符合这些表达式的日志条目才会转换成事件。系统按从上到下的顺序处理各条件。在评估每个条件时，其结果应用到下一个条件，直到评估了所有条件。对于包含 AND 和 OR 的复杂条件组，这个顺序逻辑可能产生意外结果。因此建议您最好选择多个被动监控器，而非复杂的条件组，让条件保持简洁。无法避免复杂的条件时，建议您将所有 OR 条件一起放在条件组的开头，然后是 AND 条件。
• 匹配。单击添加可访问规则表达式编辑器，您可以在其中创建规则表达式、对其进行测试，并将其与您可能收到的潜在 Windows 事件日志进行比较。建立表达式后，单击 “确定” 即可将该字符串插入 “匹配” 列表。
• 添加。单击可查看规则表达式编辑器并创建规则表达式，对其进行测试，并将其与 Network Performance Monitor 可能会收到的潜在 Windows 事件进行比较。建立表达式后，单击 “确定” 即可将该字符串插入 “匹配” 对话框。
• 编辑。单击可编辑选定的 Windows 事件日志匹配项。
• 移除：单击可移除选定的 Windows 事件日志匹配项。