Я использую nxlog версии 3.0 на WinServ2012 R2 Standard, я могу пересылать журналы событий в Eventviewer -> журналы Windows -> приложение, система, безопасность. Но я не могу переслать другой журнал, который, например, находится в разных каталогах / уровнях журналов (снимок экрана)
ниже мой файл конфигурации nxlog nxlog.conf, я пытаюсь захватить USB-накопитель / флеш-накопители, вставить / извлечь журналы из Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational
Журнал событий. Журналы заполнены, но я не могу их получить на сервере системного журнала.
Panic Soft
define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE '%LOGDIR%/nxlog.log'
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogLevel INFO
<Extension _syslog>
Module xm_syslog
</Extension>
<Extension _charconv>
Module xm_charconv
AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32
</Extension>
<Extension _exec>
Module xm_exec
</Extension>
<Extension _fileop>
Module xm_fileop
<Schedule>
Every 1 hour
Exec if (file_exists(%LOGFILE%) and (file_size(%LOGFILE%) >= 5M)) file_cycle(%LOGFILE%, 8);
</Schedule>
</Extension>
<Input eventlog>
Module im_msvistalog
ReadFromLast TRUE
<QueryXML>
<QueryList>
<Query Id='1'>
<Select Path='Application'>*</Select>
<Select Path='Security'>*</Select>
<Select Path='System'>*</Select>
<Sekect Path='Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational'>*</Select>
</Query>
</QueryList>
</QueryXML>
</Input>
<Input agentlogging>
Module im_internal
</Input>
<Output logcontents>
Module om_tcp
Host 10.10.10.100
Port 514
Exec to_syslog_snare();
</Output>
<Output agentlog>
Module om_tcp
Host 10.10.10.100
Port 514
Exec to_syslog_snare();
</Output>
<Route 1>
Path eventlog => logcontents
</Route>
<Route 2>
Path agentlogging => agentlog
</Route>
Чтобы отправить системный журнал из NXLog на сервер системного журнала, вам нужно будет использовать модуль расширения xm_syslog и вызвать одно из средств форматирования (to_syslog_bsd()
, to_syslog_ietf()
, to_syslog_snare()
) в зависимости от желаемого формата, который поддерживает ваш сервер системного журнала. Подробнее см. Раздел системного журнала в Руководстве пользователя.
Хотя некоторые события USB хранятся в журнале событий Windows, существуют и другие источники данных для событий USB:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
и отслеживая этот куст реестра, можно обнаружить изменения в конфигурации USB. В im_regmon Модуль ввода поддерживает мониторинг реестра в NXLog EE.Наконец-то он заработал, но шаги довольно глупые, попытка / ошибка: -
1) В файле nxlog.conf измените параметр внутри <Input eventlog>
ReadFromLast TRUE
к ReadFromLast FALSE
и прокомментируйте строки (поставьте хеш # перед)
#<Select Path='Application'>*</Select>
#<Select Path='Security'>*</Select>
#<Select Path='System'>*</Select>
<Select Path='Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational'>*</Select>
2) Перезапустите службу nxlog из диспетчера задач
3) Снова раскомментируйте ранее прокомментированные строки
4) перезапустите службу nxlog
5) Вставьте USB-накопитель в машину с Windows2012 и проверьте журналы
и я получил журналы, которые начали появляться, я все еще не уверен, что вызвало эту вещь .. поскольку я хочу читать журналы с последнего, я изменил ReadFromLast FALSE
к ReadFromLast TRUE
и журналы все еще появляются