Я ищу хорошую конфигурацию, которая отправляет большинство событий системы, приложений и безопасности на выход. Я бы подумал, что эта конфигурация сработает, но похоже, что я вообще не получаю логов от Security:
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
<Extension json>
Module xm_json
</Extension>
<Input eventlog>
Module im_msvistalog
Query <QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Select Path="System">*[System/Level=4]</Select>\
<Select Path="Application">*[Application/Level=4]</Select>\
<Select Path="Setup">*[System/Level=4]</Select>\
<Select Path='Windows PowerShell'>*</Select>\
</Query>\
</QueryList>
Exec to_json();
</Input>
<Output logstash_eventlog>
Module om_tcp
Host logstash
Port 1935
</Output>
<Route 1>
Path eventlog => logstash_eventlog
</Route>
Между тем, nxlog.log не сообщает об очевидных проблемах с подключением к logstash успешно. Я включаю внутреннее ведение журнала в nxlog для отправки, и каждая строка успешно отправляется.
Вопрос в том, как мне успешно отправить журналы Windows с помощью nxlog?