Windows
如何使用 Nxlog 將 Windows 日誌轉發到 rsyslog 伺服器(linux)?
我在 WinServ2012 R2 Standard 上使用 nxlog 3.0 版,我可以在 Eventviewer –> windows 日誌 –> 應用程序、系統、安全性下轉發事件日誌。但我無法轉發位於不同日誌目錄/級別的其他日誌,例如(截圖)
下面是我的 nxlog 配置文件 nxlog.conf ,我試圖從
Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational事件日誌中獲取 USB 驅動器/筆驅動器插入/彈出日誌。日誌已填充,但我無法在 syslog 伺服器上接收它們。Panic Soft define ROOT C:\Program Files (x86)\nxlog define CERTDIR %ROOT%\cert define CONFDIR %ROOT%\conf define LOGDIR %ROOT%\data define LOGFILE '%LOGDIR%/nxlog.log' Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogLevel INFO <Extension _syslog> Module xm_syslog </Extension> <Extension _charconv> Module xm_charconv AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32 </Extension> <Extension _exec> Module xm_exec </Extension> <Extension _fileop> Module xm_fileop <Schedule> Every 1 hour Exec if (file_exists(%LOGFILE%) and (file_size(%LOGFILE%) >= 5M)) file_cycle(%LOGFILE%, 8); </Schedule> </Extension> <Input eventlog> Module im_msvistalog ReadFromLast TRUE <QueryXML> <QueryList> <Query Id='1'> <Select Path='Application'>*</Select> <Select Path='Security'>*</Select> <Select Path='System'>*</Select> <Sekect Path='Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational'>*</Select> </Query> </QueryList> </QueryXML> </Input> <Input agentlogging> Module im_internal </Input> <Output logcontents> Module om_tcp Host 10.10.10.100 Port 514 Exec to_syslog_snare(); </Output> <Output agentlog> Module om_tcp Host 10.10.10.100 Port 514 Exec to_syslog_snare(); </Output> <Route 1> Path eventlog => logcontents </Route> <Route 2> Path agentlogging => agentlog </Route>
要將 syslog 從 NXLog 發送到 syslog 伺服器,您需要使用 xm_syslog 擴展模組並根據 syslog 伺服器支持的所需格式呼叫格式化程序之一 (
to_syslog_bsd(),to_syslog_ietf(), )。to_syslog_snare()有關詳細資訊,請參閱使用者指南中的系統日誌部分。雖然一些 USB 事件儲存在 Windows 事件日誌中,但 USB 事件還有其他數據源: