Windows 事件記錄檔(監控工具)
- Last Updated: May 21, 2026
- 3 minute read
Windows 事件記錄檔監控工具使用 WMI 身分驗證,偵聽指定裝置有無 Windows 事件。若要使用多個 Windows 事件記錄檔監控工具,請為每部裝置指定唯一監控工具。指定 Windows 事件記錄檔監控工具時,請確定有先為裝置指定認證。
若要存取 Windows 事件記錄檔被動監控工具的設定,請從 [設定] 選單中選取 [資料庫] > [監控工具]。接著按一下新增圖示(+),並在出現的下拉式選單中選取 [被動監控工具]。在顯示的選項中選擇 [Windows 事件記錄檔監控工具],然後按一下 [選取]。
為此監控工具提供專屬的名稱和說明,然後設定以下項目:
- 條件:按一下(
)來啟動 [WinEvent 條件] 對話方塊以建立一個要比對的條件,然後重複以完成列出清單上的條件(如果需要的話)。只有符合這些運算式的記錄項目才會轉換成事件。系統會依從上到下的順序進行處理。由於系統會比對每個條件, 所以會將結果套用到下一個條件,直到所有條件比對完成為止。 警告: 不支援同時使用 AND 與 OR 運算子的組合。 - 訊息:按一下()來啟動規則運算式編輯工具,以便建立、測試運算式,並與可能接收的承載資料進行比較。按一下(
)可新增或編輯運算式,或者按一下(
)可移除方塊中的運算式。
重要: 若您有多個承載資料「match on」運算式,就必須以「OR」邏輯連結,而非「AND」邏輯連結。若您有兩個運算式,一個設為「AB」,另一個是「BA」,則涵蓋以下任何項目的 Trap 可比對成功:「AB」或「BA」或「ABBA」。