tencent cloud

日志服务

动态与公告
产品动态
公告
新手指引
产品简介
产品概述
产品优势
地域和访问域名
规格与限制
基本概念
购买指南
计费概述
产品定价
按量计费(后付费)
欠费说明
清理日志服务资源
成本优化
常见问题
快速入门
一分钟入门指南
入门指南
使用 Demo 日志快速体验 CLS
操作指南
资源管理
权限管理
日志采集
指标采集
日志存储
指标存储
检索分析(日志主题)
检索分析(指标主题)
仪表盘
数据处理
投递与消费
监控告警
云产品中心
DataSight 独立控制台
历史文档
实践教程
日志采集
检索分析
仪表盘
监控告警
投递和消费
成本优化
开发者指南
通过 iframe 内嵌 CLS(旧方案)
通过 Grafana 使用 CLS
API 文档
History
Introduction
API Category
Making API Requests
Topic Management APIs
Log Set Management APIs
Index APIs
Topic Partition APIs
Machine Group APIs
Collection Configuration APIs
Log APIs
Metric APIs
Alarm Policy APIs
Data Processing APIs
Kafka Protocol Consumption APIs
CKafka Shipping Task APIs
Kafka Data Subscription APIs
COS Shipping Task APIs
SCF Delivery Task APIs
Scheduled SQL Analysis APIs
COS Data Import Task APIs
Data Types
Error Codes
常见问题
健康监测问题解释
采集相关
检索分析相关
其他问题
服务等级协议
CLS 政策
隐私协议
数据处理和安全协议
联系我们
词汇表
文档日志服务操作指南日志采集采集 Windows 事件日志

采集 Windows 事件日志

PDF
聚焦模式
字号
最后更新时间: 2026-01-07 15:32:33
Windows 事件日志记录为应用程序和操作系统记录重要软件和硬件事件提供了一种标准的集中式方法。当软件、硬件或操作系统发生异常错误时,您可以通过 Windows 事件日志来检查错误发生的原因。本文将介绍如何通过 LogListener(Windows 版)采集 Windows 事件日志至 CLS 日志服务。

前提条件

目标 Windows 服务器已安装 LogListener。详情请参见 LogListener 安装指南(Windows 版)

操作条件

步骤1:选择日志主题

支持创建新的日志主题和使用现有的日志主题,您可按需选择。
使用新的日志主题
使用现有的日志主题
如果您想选择新的日志主题,可执行如下操作:
1. 登录 日志服务控制台
2. 在左侧导航栏中,选择概览,进入概览页面。
3. 在快速接入中,找到并单击 Windows 事件日志,进入采集配置流程。

4. 创建日志主题页面,根据实际需求,输入日志主题名称,配置日志保存时间等信息,单击下一步

如果您想选择现有的日志主题,可执行如下操作:
1. 登录 日志服务控制台
2. 在左侧导航栏中,选择日志主题,选择需要投递的日志主题,单击日志主题名称,进入日志主题管理页面。
3. 选择采集配置页签,在 Windows 事件采集配置栏单击新增


步骤2:管理机器组

1. 完成日志主题新建或选择之后,进入机器组管理配置。
2. 在机器组列表中选择需要采集的 Windows 机器组。

如果您想选择新的机器组,可单击新建机器组系统环境选择 Windows,并选择通过 IP 或者机器标识的方式关联目标 Windows 服务器。详情请参见 机器组。完成创建后,在机器组列表中选中新建的机器组。

3. 选择完成后,单击下一步,进入采集配置流程。

步骤3:采集配置

采集配置页面, 配置 Windows 事件采集规则。完成采集配置后,单击下一步

配置事件采集规则
一个采集配置支持配置多个事件采集规则,一个事件采集规则包含以下配置项。
配置项
是否必填
说明
事件通道
目标采集的事件通道,支持选择:
Application(应用事件):记录由应用程序生成的事件,例如软件崩溃、配置更改、错误消息等
System(系统事件):记录操作系统组件的事件,例如驱动程序、系统服务、硬件问题等
Security(安全性事件):记录与安全相关的事件,例如用户登录/注销、权限更改、审核策略更改等
Setup(配置事件):记录系统设置和配置更改的事件
ALL(所有事件)
注意:
推荐一个服务器中的一种事件通道仅被一个采集配置采集。 若配置多个采集配置采集同一事件通道, 可能导致重复采集。
采集起始点
支持以下两种采集起始点:
自定义时间:将从您指定的时间开始采集事件日志。
全量采集:将采集服务器上所有的事件日志。注意:若事件超出了 Windows 系统保留时长,其日志将不会采集。
自定义时间
当采集起始点选择为“自定义起始点”时, 需指定开始采集事件日志的时间。
事件 ID 过滤
支持正向过滤单个值(例:20)或范围(例:0-20),也支持反向过滤单个值(例:-20)。多个过滤项之间可由逗号隔开,例:1-200。-100表示采集1-200范围内除了100以外的事件日志。

步骤4:索引配置

索引配置流程,设置如下信息。



索引状态:确认是否开启。
注意:
检索必须开启索引配置,否则无法检索。
全文索引:确认是否需要设置大小写敏感。
全文分词符:默认为“@&()='",;:<>[]{}/ \\n\\t\\r”,确认是否需要修改。
键值索引:默认开启,并基于 Windows 事件日志字段 填充键值。若您不需要开启键值索引,可将

设置为

说明:
开启全文索引的同时, 开启键值索引不收取额外费用。


步骤5:检索分析

至此,您已完成 Windows 事件日志的采集配置。下一步,您可前往 日志检索页 查看日志。

日志字段解释

字段名
描述
computer_name
产生当前事件的节点名。
keywords
当前事件关联的关键字,用于事件分类。
level
当前事件的等级。
channel
当前事件的通道名。
event_data
和当前事件相关的数据。
message
当前事件关联的消息。
opcode
当前事件关联的操作码。
process.pid
当前事件的进程 ID。
type
获取当前事件使用的 API。
version
当前事件的版本号。
record_id
当前事件关联的记录编号。
event_id
当前事件的 ID。
task
当前事件关联的任务。
provider_guid
当前事件来源的全局事务 ID。
activity_id
当前事件所属活动的全局事务 ID,同一个活动的事件具有相同的全局事务 ID。
process.thread.id
当前事件的线程 ID。
provider_name
当前事件的来源。
raw_data
当前事件最原始的信息,XML 格式。

上一篇: 采集 Syslog下一篇: 采集 Nginx 访问日志

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈