我的问题是我无法使用 Nxlog 收集 ADDS 或 DNS 事件并将它们发送到 ELK 服务器。在 DC 和 DNS 服务器的 Nxlog 配置中,我有以下查询
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
配置文件在没有 Active Directory 和 DNS 路径的情况下正常工作。所需的安全和系统日志正确地转到 ELK。我也尝试在配置文件中只保留 ADDS 或 DNS 路径,但没有成功。我认为我在配置中没有正确的 ADDS 和 DNS 路径,这是我的问题。我的 Google-fu 和 Bing-fu 没有找到任何结果,为我提供了 ADDS 和 DNS 事件的事件 ID 通道。我只找到了应用程序、安全性、系统和设置的事件 ID 通道。有什么建议么?我愿意!
DC\DNS 服务器和 ELK 服务器在 Windows Server 2012 上运行。ELK 安装正在运行 ELK 的最新稳定版本。
我找到了答案。在 DC\DNS 服务器上的事件查看器中,右键单击事件 ID 通道,例如目录服务,选择过滤当前日志。这样做会弹出过滤当前日志窗口。单击 XML 选项卡以查找查询列表信息!
我已经验证这适用于目录服务和 DNS。我插入了 Select Path 并在我的 Nxlog 配置文件中添加了一个反斜杠。