• 不是。选择此选项可筛选与字符串匹配的条件。
  • 参数。选择要匹配的 Windows 事件日志参数。
  • 类别。此事件的子类别。不同来源会有不同的子类别。
  • 类别字符串。子类别的转换。不同来源会有不同的转换。
  • 计算机。发生事件的计算机。
  • 事件 ID。Windows 事件标识符。这是生成事件日志条目的来源特有的标识,搭配“来源”即可区分 Windows 事件类型。
  • 事件类型。事件的类型。

    事件类型的值与含义:

    1. 错误
    2. 警告
    3. 信息
    4. 安全审核成功
    5. 安全审核失败
  • 日志文件。Windows 事件日志文件的名称。
  • 描述。使用此参数可简述所记录的事件。
  • 来源。生成条目的来源 (应用程序、服务、驱动程序、子系统) 名称。此参数搭配 EventIdentifier 时,即可区分 Windows 事件类型。
  • 类型。事件的类型。这是枚举字符串。建议您尽量使用 EventType 属性而非 Type 属性,因为 Type 是字符串。字符串已本地化,所以使用 Type 会无法在非英语操作系统上匹配。
  • 用户。事件发生时登录的用户名。若无法判断用户名,则为 NULL。
  • 运算符。选择将参数与值关联的运算符:=,>,<,> =,< =,! =
  • 。输入所选参数的值。
  • And/Or。选择“And/Or”即可将其他条件添加到字符串。