我的问题是我无法使用 Nxlog 收集 ADDS 或 DNS 事件并将它们发送到 ELK 服务器。在 DC 和 DNS 服务器的 Nxlog 配置中,我有以下查询
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
配置文件在没有 Active Directory 和 DNS 路径的情况下也能正常工作。所需的安全和系统日志正确地发送到 ELK。我也尝试过在配置文件中只保留 ADDS 或 DNS 路径,但没有成功。我认为配置中没有正确的 ADDS 和 DNS 路径,这就是我的问题。我的 Google-fu 和 Bing-fu 没有找到任何结果,无法为我提供 ADDS 和 DNS 事件的事件 ID 通道。我只找到了应用程序、安全、系统和设置的事件 ID 通道。有什么建议吗?我愿意接受任何建议!
DC\DNS 服务器和 ELK 服务器在 Windows Server 2012 上运行。ELK 安装正在运行 ELK 的最新稳定版本。
答案1
我找到了答案。在 DC\DNS 服务器上的事件查看器中,右键单击事件 ID 通道(例如目录服务),选择过滤当前日志。这样做会弹出过滤当前日志窗口。单击 XML 选项卡以查找查询列表信息!
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
我已经验证了它适用于目录服务和 DNS。我插入了选择路径,并在 Nxlog 配置文件中添加了反斜杠。