我正在寻找一个可以将大多数系统、应用程序和安全事件发送到输出的良好配置。我原本以为这个配置会起作用,但似乎我根本没有从安全部门获得任何日志:
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
<Extension json>
Module xm_json
</Extension>
<Input eventlog>
Module im_msvistalog
Query <QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Select Path="System">*[System/Level=4]</Select>\
<Select Path="Application">*[Application/Level=4]</Select>\
<Select Path="Setup">*[System/Level=4]</Select>\
<Select Path='Windows PowerShell'>*</Select>\
</Query>\
</QueryList>
Exec to_json();
</Input>
<Output logstash_eventlog>
Module om_tcp
Host logstash
Port 1935
</Output>
<Route 1>
Path eventlog => logstash_eventlog
</Route>
同时,nxlog.log 没有指出任何明显的问题,连接到日志存储成功。我打开 nxlog 中的内部日志发送功能,并且每一行都成功发送。
问题是,如何使用 nxlog 成功发送 Windows 日志?