Моя проблема в том, что я не могу собирать события ADDS или DNS с помощью Nxlog и отправлять их на сервер ELK. В конфигурации Nxlog для DC и DNS-сервера у меня есть следующий запрос
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
Файл конфигурации работает правильно без путей Active Directory и DNS. Желаемые журналы безопасности и системные журналы правильно попадают в ELK. Я также попытался оставить в файле конфигурации только пути ADDS или DNS, но безуспешно. Я не думаю, что у меня есть правильные пути для ADDS и DNS в конфигурации, и это моя проблема. Мои Google-fu и Bing-fu не нашли никаких результатов, дав мне канал идентификатора события для событий ADDS и DNS. Я нашел только каналы идентификаторов событий для приложений, безопасности, системы и настройки. Какие-либо предложения? Я готов к любому!
Сервер DC \ DNS и сервер ELK работают на Windows Server 2012. При установке ELK используются последние стабильные выпуски ELK.
Я нашел ответ. В средстве просмотра событий на DC \ DNS-сервере щелкните правой кнопкой мыши канал идентификатора события, например Служба каталогов, выберите «Фильтровать текущий журнал». Откроется окно «Фильтр текущего журнала». Щелкните вкладку XML, чтобы найти информацию о списке запросов!
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
Я убедился, что это работает для службы каталогов и DNS. Я подключил Select Path и добавил обратную косую черту в свой файл конфигурации Nxlog.