我正在使用Nagios的基本NRPE插件来被动地监视Windows Eventlog。 该插件允许将EventID例外列表作为命令参数。 所以,例如,我可以阻止EventID为1024的任何事件。
当然,这不看事件的来源。
我想知道的是两个来源使用相同的EventID的机会。 一些现场检查(searcheventid)只发现唯一性,所以这可能是一个可以接受的风险,但我希望你的想法。 你有没有遇到过使用相同的EventID的两个来源?
使用程序员决定的任何ID,对事件源没有限制。 举一个具体的例子,例如,我的ts_block脚本(source“ts_block”)使用事件ID 1,2,3,256和257.在公共事件数据库中search这些事件ID(如 – 和I按照我所说的 – eventid.net )将会展示许多使用这些相同事件ID的其他来源。
如果你只是比较事件ID,那么你就没有足够的比较。