Назад | Перейти на главную страницу

Как переслать журнал Windows с помощью Nxlog на сервер rsyslog (Linux)?

Я использую nxlog версии 3.0 на WinServ2012 R2 Standard, я могу пересылать журналы событий в Eventviewer -> журналы Windows -> приложение, система, безопасность. Но я не могу переслать другой журнал, который, например, находится в разных каталогах / уровнях журналов (снимок экрана)

ниже мой файл конфигурации nxlog nxlog.conf, я пытаюсь захватить USB-накопитель / флеш-накопители, вставить / извлечь журналы из Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational Журнал событий. Журналы заполнены, но я не могу их получить на сервере системного журнала.

Panic Soft
define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE '%LOGDIR%/nxlog.log'
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogLevel INFO

<Extension _syslog>
    Module      xm_syslog
</Extension>

<Extension _charconv>
    Module      xm_charconv
    AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32
</Extension>
<Extension _exec>
    Module      xm_exec
</Extension>
<Extension _fileop>
    Module      xm_fileop
    <Schedule>
        Every   1 hour
        Exec    if (file_exists(%LOGFILE%) and (file_size(%LOGFILE%) >= 5M)) file_cycle(%LOGFILE%, 8);
    </Schedule>
</Extension>
<Input eventlog>
    Module       im_msvistalog
    ReadFromLast TRUE
    <QueryXML>
       <QueryList>
         <Query Id='1'>
            <Select Path='Application'>*</Select>
            <Select Path='Security'>*</Select>
            <Select Path='System'>*</Select>
            <Sekect Path='Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational'>*</Select>
         </Query>
       </QueryList>
   </QueryXML>
</Input>

<Input agentlogging>
    Module      im_internal
</Input>

<Output logcontents>
    Module       om_tcp
    Host         10.10.10.100
    Port         514
    Exec         to_syslog_snare();
</Output>

<Output agentlog>
    Module       om_tcp
    Host         10.10.10.100
    Port         514
    Exec         to_syslog_snare();
</Output>
<Route 1>
    Path        eventlog => logcontents
</Route>

<Route 2>
    Path        agentlogging => agentlog
</Route>

Чтобы отправить системный журнал из NXLog на сервер системного журнала, вам нужно будет использовать модуль расширения xm_syslog и вызвать одно из средств форматирования (to_syslog_bsd(), to_syslog_ietf(), to_syslog_snare()) в зависимости от желаемого формата, который поддерживает ваш сервер системного журнала. Подробнее см. Раздел системного журнала в Руководстве пользователя.

Хотя некоторые события USB хранятся в журнале событий Windows, существуют и другие источники данных для событий USB:

  • Трассировка событий Windows (ETW). В NXLog EE есть модуль под названием im_etw который может напрямую собирать журналы ETW. Видеть эта почта для списка связанных поставщиков ETW.
  • Реестр Windows. USB-устройства перечислены в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB и отслеживая этот куст реестра, можно обнаружить изменения в конфигурации USB. В im_regmon Модуль ввода поддерживает мониторинг реестра в NXLog EE.

Наконец-то он заработал, но шаги довольно глупые, попытка / ошибка: -

1) В файле nxlog.conf измените параметр внутри <Input eventlog> ReadFromLast TRUE к ReadFromLast FALSE и прокомментируйте строки (поставьте хеш # перед)

#<Select Path='Application'>*</Select>
#<Select Path='Security'>*</Select>
#<Select Path='System'>*</Select>
<Select Path='Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational'>*</Select>

2) Перезапустите службу nxlog из диспетчера задач

3) Снова раскомментируйте ранее прокомментированные строки

4) перезапустите службу nxlog

5) Вставьте USB-накопитель в машину с Windows2012 и проверьте журналы

и я получил журналы, которые начали появляться, я все еще не уверен, что вызвало эту вещь .. поскольку я хочу читать журналы с последнего, я изменил ReadFromLast FALSE к ReadFromLast TRUE и журналы все еще появляются