У меня нечетное количество проблем с выводом правильного синтаксиса для "filter = in" двух типов событий, предупреждения и ошибки.
Я использую следующую строку:
CheckEventLog -a truncate=1023 MaxWarn=1 MaxCrit=1 file='DFS Replication' filter=in "filter.eventSource='DFS Replication'" "filter.eventSource='DFSR'" "filter.eventType==error" "filter.eventType==warning" "filter+generated=\<5m" descriptions unique syntax='%message%'
«Filter = in» означает «включить» все фильтры, перечисленные в условии; по сравнению с "filter = out", что означает исключить все фильтры, перечисленные в условии.
Значение синтаксиса «filter * X»:
Эта информация собрана из документация.
Странно то, что для меня приведенный выше синтаксис означает: требовать наличия перечисленных фильтров ('filter = in') из источника событий 'DFS Replication' ИЛИ 'DFSR', включать все предупреждения ИЛИ события типа ошибки, которые произошли менее чем 5 минут назад.
Однако приведенный выше синтаксис возвращает все типы событий (включая ошибку, предупреждение, информацию) [из перечисленных источников событий (хотя я не доказал, что они явно являются «источниками событий», а не все источники событий в журнале событий (файл = ')), произошедшее менее 5 минут назад].
Кто-нибудь знаком с тем, как включить два разных фильтра eventType в команду CheckEventLog в NSClient ++ v0.3.9?
Использовать новый синтаксис похож на SQL ...
Новый пример команды содержит следующий фильтр:
..."filter=generated gt -2d AND severity NOT IN ('success', 'informational') AND source != 'SideBySide'"...
И в вашем случае, я думаю, вы хотите иметь ... source = 'DFS Replication' OR source = 'DFSR' ...