Windows 事件日志(监控器)
- Last Updated: May 21, 2026
- 2 minute read
- WhatsUp Gold
- Version 2026
“Windows 事件日志”监控器使用 WMI 身份验证来侦听所分配的设备上的 Windows 事件。要使用多个“Windows 事件日志”监控器,请为每台设备分配唯一的监控器。在分配“Windows 事件日志”监控器时,先确保设备已分配到凭据。
要访问 Windows 事件记录文件被动监控工具的配置,请在设置菜单中选择库 > 监控工具。然后单击添加图标(+),并在出现的下拉菜单中选择被动监控工具。在显示的选项中选择Windows 事件记录文件监控工具,然后单击选择。
为该监控工具提供唯一的名称和描述,然后配置以下内容:
- 条件。单击 (
) 启动 WinEvent 条件对话框,以创建匹配条件,然后重复以完成条件列表(如果需要)。只有符合这些表达式的日志条目才会转换成事件。系统按从上到下的顺序处理各条件。在评估每个条件时,其结果应用到下一个条件,直到评估了所有条件。 警告: 不支持同时使用 AND 和 OR 运算符的任意组合。 - 消息。单击()启动规则表达式编辑工具,以创建表达式、进行测试,并与潜在的有效负载进行比较。单击 (
) 添加或编辑表达式或单击 (
) 从框中删除表达式。
重要: 若您有多个有效负载“匹配”表达式,则它们以“OR”逻辑链接,而非“AND”逻辑。若您有两个表达式,一个设为“AB”,另一个是“BA”,则包含以下任何项目的 Trap 可匹配成功:“AB”或“BA”或“ABBA”。