我有一个奇怪的问题推断正确的语法来“过滤= in”两个事件types,警告和错误。
我正在使用的线如下所示:
CheckEventLog -a truncate=1023 MaxWarn=1 MaxCrit=1 file='DFS Replication' filter=in "filter.eventSource='DFS Replication'" "filter.eventSource='DFSR'" "filter.eventType==error" "filter.eventType==warning" "filter+generated=\<5m" descriptions unique syntax='%message%'
“filter = in”表示“包含”条件中列出的所有filter; 而“filter=出”意味着排除条件中列出的所有filter。
“filter * X”的语法意思是:
这些信息是从文档中收集的 。
奇怪的是,对我来说,上面的语法意味着:要求列出的filter('filter = in')来自事件源“DFS复制”或“DFSR”,包括发生的所有警告或错误types事件比5分钟前。
但是,上面的语法从列出的事件源(虽然我没有certificate它们是事件源(事件源)而不是事件日志('文件)中的所有事件源)返回所有事件types(包括错误,警告,信息) =')),发生不到5分钟前]。
是否有人熟悉如何在NSClient ++ v0.3.9的CheckEventLog命令中包含两个不同的eventType筛选器?
使用类似于SQL的新语法…
新的示例命令包含以下filter:
..."filter=generated gt -2d AND severity NOT IN ('success', 'informational') AND source != 'SideBySide'"...
而在你的情况下,我想你想有…源='DFS复制'或源='DFSR'…