Я использую базовые плагины NRPE для Nagios для пассивного мониторинга журнала событий Windows. Плагин позволяет использовать список исключений EventID в качестве аргумента команды. Так, например, я могу заблокировать любое событие с EventID 1024.
Конечно, это не касается источника события.
Что мне интересно, так это вероятность того, что два источника используют один и тот же EventID. Некоторая выборочная проверка (поиск в Google) выявила только уникальность, так что это может быть приемлемым риском, но мне хотелось бы узнать ваше мнение. Вы когда-нибудь сталкивались с двумя источниками, которые используют один и тот же EventID?
Нет ограничений на использование источников событий с использованием любого идентификатора, который выберет программист. Чтобы привести конкретный пример, мой ts_block скрипт (источник «ts_block»), например, использует идентификаторы событий 1, 2, 3, 256 и 257. Поиск этих идентификаторов событий в общедоступной базе данных событий (например - и я зажимаю нос, когда говорю это - - eventid.net) покажет вам много-много других источников, использующих те же идентификаторы событий.
Если вы сравниваете только идентификатор события, значит, вы сравниваете недостаточно.