このサンプルでは、サービスもルールセットもまだ設定されていない状態からはじめます。

　

　

 １） ルールセットを設定
ルールセットを右クリックして、［ルールセットの追加］を選択します。

すると、ルールセット作成のウィザードが起動します。
ルールセット名は自由に指定できますが、ここではデフォルト（RuleSet1）を使用します。
ウィザードでは、特になにも指定せず［次へ］-［終了］を選択します。
すると、ルールセットが下図のように作成されます。

　

 

２） サービスを設定  
次にルールに対応するサービスを設定します。
サービスを右クリックし、 ［サービスの追加］－［イベントログの監視］を選択します。

　

　

サービス名は、デフォルトのままにして置きます。
ウィザードでは、特になにも指定せず［次へ］-［終了］を選択します。
すると、［イベントログの監視］サービスが作成されます。

サービスの下の［イベントログの監視 １］をクリックすると、以下のような画面が現れます。 

　

　

先ほど、［RuleSet1］を作成したので、このサービスで ［使用するルールセット］に設定されています。
［イベントログの監視］サービスは、今回はデフォルトのまま使用します。

＊ Windows Vista 以降のシステム（例； Windows Server 2008、7 等）でご利用の場合には、上記サービスでなく「イベントログの監視V2」をご利用ください。

　

 ３） ルールを設定
［イベントログの監視］に関連付けた［RuleSet1］のルールを設定してゆきます。

［RuleSet １］を右クリックし、［ルール］－［ルールの追加 ］を選択します。
ルール名は、自由に指定できますが、ここでは［discard］（破棄）とします。

　

 

　

そして、下の画面が現れるまでツリーを広げます。
さらに［フィルタの条件］をクリックすると、下図のようになります。

　

４） ［Discard］ルール配下のフィルタ条件を設定
上図の右側では、フィルタの設定を行います。
ここで、不必要なイベントをフィルタにかけるように設定を行います。  

　

1） ブール演算子を変更
複数のイベントを破棄したいときは、デフォルトで設定されている［AND］でなく、先頭で演算子［OR］を使います。
［AND］をクリックし、［オペレータ（演算子）の変更］を指定し、［OR］に変更します。
（［AND］をダブルクリックして演算子を変更することも可能です。） 

　

 2） フィルタを追加
必要でないイベントをそのIDを指定することによって、フィルタにかけます。
［OR］を右クリックし、［フィルタの追加］－［イベントログ監視］－［イベントID］を選択します。

　

イベントID 105と108と118の3つの値を入力するために、イベントID フィルタを3つ作成します。
各値を設定するには、フィルタを指定し、［詳細］の［プロパティに値を設定 ］のテキストボックスに直接数値を入力します。

　

 ［保存 ］ボタンを押して設定を更新します。
これで破棄したいイベントIDが設定されました。

　

５）破棄のアクションを作成  
［アクション］を右クリックし、［アクションの追加］-［破棄］を選択します。

　

すると、アクション作成のウィザードが表示されます。
ここでは、特になにも指定せず［次へ］-［終了］を選択します。

　

これで、［破棄（Discard） ］のアクションが作成されます。

　

6）ルールを作成し、ファイルログを設定
次に、Discard ルールの下に新たにルールを作成し、その中に ［ファイルログ］アクションを作成します。
このルールの［フィルタの条件］は、デフォルトのまま（ANDがあるのみ）使用します。

　

６）ルールセットの再書き込み
ルールセットの設定（変更）を有効にするために［イベントログの監視］サービスで、［使用するルールセット］の［再書き込み ］を実行します。

　

７）EventReporterサービスの（再）起動 
EventReporter サービスを起動することで、イベントID 105、108、118のイベントログは、ここで設定したルールにより破棄され、それ以外のイベントがログファイルに書き込まれるようになります。