我正在尝试将 IIS 日志中的日期+时间字段合并到 EventTime 字段中,以便进行 logstash 消化。这是我的 nxlog.conf 文件: <Input iis1> #drop comment lines, join the date+time fields into an EventTime field, convert to json Module im_file File 'C:\inetpub\logs\LogFiles\W3SVC2\u_ex*.log' ReadFromLast T...
我正在尝试在 Graylog 客户端计算机上安装 NxLog 收集器。Graylog 和相关基础架构(elastic 和 mongodb)运行良好。 安装客户端是 Windows Server 2019 DC(“辅助”/“代理”/“响应者”?不掌握新术语)。当我安装 NxLog 时,一切都很好(创建了包含文件的文件夹,并卸载了服务 nxlog)。当我安装 Graylog 时,安装了“graylog-sidecar”服务,但没有安装“graylog-collector-nxlog”服务。 这官方文档根本没有指出需要哪些 Windows 服务。 我们所有其他 W...
我正在按照此处有关 NXLog 的说明进行操作:https://nxlog.co/documentation/nxlog-user-guide/linux-logs.html#linux_logs_forwarding_socket_example根据 80.2 将系统日志消息转发到 NXLog。 它特别指出要重新启动 NXLog,然后重新启动 rsyslog,以便 NXlog 可以在 rsyslog 尝试写入之前创建套接字。 我的问题是,在重启期间,以及在不同版本的 Linux 中,哪个服务将首先启动是不确定的,我猜 syslog 可能首先启动。如果 rs...
我正在尝试使用安装在 Windows 服务器上的 nxlog 通过 TLS 将日志发送到 graylog 服务器。我已经创建了一个自签名证书。 我的问题是,如果我在 om_ssl 模块的 nxlog 配置中将 AllowUntrusted 值设置为 True,我是否必须设置 CAFile 或 CertFile 值? 我正在查看他们的源代码,这就是我发现的。 else if ( strcasecmp(curr->directive, "RequireCert") == 0 ) { } else if ( strcasecmp(curr->di...
我已经安装了nxlog将日志发送到 graylog 服务器的功能。它运行正常,但我的 HIDS Ossec 日志权限被拒绝。 我的进程nxlog(由collector-sidecar启动)以root身份运行: # ps -ef | grep collector root 1869 1 0 13:23 ? 00:00:03 /usr/bin/graylog-collector-sidecar root 1905 1869 0 13:23 ? 00:00:29 /usr/bin/nxlog -f ...
我在 WinServ2012 R2 Standard 上使用 nxlog 版本 3.0,我可以转发 Eventviewer --> windows 日志 --> 应用程序、系统、安全下的事件日志。但我无法转发不同日志目录/级别的其他日志(例如屏幕截图) 下面是我的 nxlog 配置文件 nxlog.conf,我试图从Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational事件日志中获取 USB 驱动器/笔式驱动器插入/弹出日志。日志已填充,但我无法在 syslog 服务器上接...
当我尝试通过网络连接时,nxlog 出现问题。它似乎与配置错误的网络相关联(这是在虚拟机上,在 Vagrant 内) 错误信息是 错误无法连接到 192.168.41.2:514 上的 udp 套接字;尝试对无法访问的网络进行套接字操作。 不幸的是,它从未尝试重新连接;我看到配置文件中有一个重新连接的选项,但仅适用于 ssl 和 tcp,并且已被弃用。 我在论坛和文档中找不到详细信息 - 我可以做些什么来强制重新连接(或检测错误连接?) 谢谢 ...
我在获取位于应用程序和服务日志中的事件日志数据时遇到了问题。我在 nxlog conf 文件中放置了一个查询,该查询从应用程序事件日志中获取错误、警告、严重日志,但它不起作用。 任何帮助,将不胜感激 我正在尝试获取应用程序和服务日志中的流事件文件,请参见以下屏幕截图 截屏 这是我的 nxlog 输入配置 <Input eventlog> Module im_msvistalog Query <QueryList>\ <Query Id="0" Path="Application">...
Logstash:5.3.0 nxlog:nxlog-ce-2.9.1716 检查 nestat 发现虽然我只有大约 50 台主机,但已经建立了 300 个连接。 当我在客户端只有一个活动连接时,我对某些主机有大约 40 个连接。 我向输入过滤器添加了 data_timeout => 500,并重新启动了 logstash,但看起来连接仍在增长并保持处于已建立状态。 如果操作系统将连接视为已建立,那么这不算作空闲连接吗?因为在这种情况下 data_timeout 不会产生影响,对吗? 我的 TCP 保持活动设置是默认值,我应该更改它吗?: ...
我的 Windows 服务器上有 nxlog,用于将日志发送到 Logstash(JSON 格式)。我想将安全事件克隆到 SIEM,因此我添加了捕获某些 Windows 事件 ID 的逻辑: 即使应用了“Windows 事件日志”标签(通过“add_tag”),也从未添加“Windows 安全事件”,即使我查看日志并找到类似 4624 的 EventID。 作为参考,这里是完整的纯文本 logstash.conf: input {tcp{port=>1514}} filter { if "im_msvistalog" in [...
这个问题让我有点抓狂。我该如何根据程序名称路由 syslog-ng 收到的来自 nxlog 的消息?这应该是不言自明的,但它无法正常工作。这些消息被丢弃到我的 syslog-ng 通用日志文件中,没有应用过滤。 我正在使用 nxlog 发送如下 IIS 日志: <Input W3SVC> Module im_file ... Exec $SourceName = 'IIS'; ... </Input> <Route W3SVC> Path W3SVC => IIS_Sysl...
我目前在各种域控制器上运行 NxLog,提取登录/注销事件。 Exec if $TargetUserName =~ /(\S+\$|user1|user2|user3|user4)/ drop(); \ else if ($EventID == 4624 or $EventID == 4625 or $EventID == 4648 or $EventID == 4768) $raw_event = "Time:" + $EventTime + ", EventID:" + $EventID + ", Keyword:" + $Status + ...
我无法配置 NXlog 来发送 Windows 事件登录日志。日志是在 NXlog 启动之前创建的,因此 NXlog 需要记住上次抓取事件日志的时间。 当我尝试在配置中使用“savePos”指令时,会出现问题: 此指令采用布尔值 TRUE 或 FALSE,并指定在 nxlog 退出时是否应保存文件位置。启动时将从缓存文件中读取文件位置。如果配置中未指定此指令,则默认保存文件位置。即使启用了 SavePos,也可以使用 NoCache 指令明确关闭它。 (来自文档)。 但 NXlog 从来不会将位置(或其他任何内容)写入缓存。 我没有使用...
希望收集写入 MSSQL Server 表的日志信息并使用 nxlog 或类似程序将其转发到 Graylog。 我看到很多关于使用 nxlog 检查日志的信息,但没有涉及如何做到这一点,有人知道这是否可行吗? ...
我正在尝试读取 Nxlog 中命令的输出last。我想定期last对utmp文件运行。换句话说,我想安排一个 shell 命令以时间间隔运行并将输出作为日志事件传输。换句话说,我想 <Schedule>在模块中包含子句im_exec,但这似乎是不可能的,所以我正在尝试其他方法(示例适用于 Linux): <Input sample_umtp_linux> Module im_null <Schedule> Every 1 sec Exec exec("/usr/bin/last", "-f"...