您可以通過天翼云云日志服務提供的lmtagent采集器采集Windows事件日志。本文介紹如何通過日志服務控制臺采集Windows事件日志。

前提條件

• 已經在目標Windows云主機上安裝日志采集器lmtagent。

• 目標云主機持續產生日志。

創建步驟

1. 登錄云日志服務控制臺。

2. 左側菜單欄點擊“日志接入”，進入接入管理頁面。

3. 在“數據導入”模塊中，點擊“Windows事件日志”。

4. 選擇目標日志項目和日志單元，單擊下一步。

5. 在選擇主機組頁面，選擇目標主機組。

6. 在采集配置頁面，設置事件采集規則，可以同時配置多個事件采集規則，每個采集規則的字段說明如下：

   字段	說明
   事件通道	指采集應用程序通道中的事件日志，包括Application、Security、Setup、System。可在Windows系統中查看通道名稱信息。
   采集起始點	支持設置自定義時間與全量采集。
   事件ID過濾	支持正向過濾單個值(例:20)或范圍(例:0-20)，也支持反向過濾單個值(例:-20)。多個過濾項之間可由逗號隔開，例:1-200,-100表示采集1-200范圍內除了100以外的事件日志
   事件來源過濾	根據事件來源過濾日志。您可以使用半角逗號（,）指定多個事件來源名稱，例如設置為App1, App2表示只采集來源名字為App1和App2的事件日志，其他事件日志都會被忽略。事件名稱需為全稱，默認為空，表示采集所有來源的事件。
   事件等級	根據Windows事件等級過濾采集。僅支持Windows Vista及以上的操作系統。

7. 創建索引。默認開啟全文索引，您也可以根據需要手動創建字段索引用于字段查詢。

8. 點擊完成，即可完成導入任務創建。等待1分鐘左右，在查詢日志界面能查詢到日志，則說明接入成功。