Como encaminhar o log do Windows usando o Nxlog para o servidor rsyslog (linux)?

Navegue suas respostas
2

Estou usando o nxlog versão 3.0 no WinServ2012 R2 Standard, posso encaminhar os logs de eventos em EventViewer - > registros do Windows - > aplicação, sistema, segurança. Mas eu não sou capaz de encaminhar outro log que está em diferentes diretórios / níveis de log, por exemplo (screenshot)

abaixo está o meu arquivo de configuração nxlog nxlog.conf, estou tentando pegar a unidade usb / pen drives para inserir / ejetar logs do log de eventos Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational . Os logs são preenchidos, mas não consigo recebê-los no servidor syslog. 

Panic Soft
define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE '%LOGDIR%/nxlog.log'
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogLevel INFO

<Extension _syslog>
    Module      xm_syslog
</Extension>

<Extension _charconv>
    Module      xm_charconv
    AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32
</Extension>
<Extension _exec>
    Module      xm_exec
</Extension>
<Extension _fileop>
    Module      xm_fileop
    <Schedule>
        Every   1 hour
        Exec    if (file_exists(%LOGFILE%) and (file_size(%LOGFILE%) >= 5M)) file_cycle(%LOGFILE%, 8);
    </Schedule>
</Extension>
<Input eventlog>
    Module       im_msvistalog
    ReadFromLast TRUE
    <QueryXML>
       <QueryList>
         <Query Id='1'>
            <Select Path='Application'>*</Select>
            <Select Path='Security'>*</Select>
            <Select Path='System'>*</Select>
            <Sekect Path='Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational'>*</Select>
         </Query>
       </QueryList>
   </QueryXML>
</Input>

<Input agentlogging>
    Module      im_internal
</Input>

<Output logcontents>
    Module       om_tcp
    Host         10.10.10.100
    Port         514
    Exec         to_syslog_snare();
</Output>

<Output agentlog>
    Module       om_tcp
    Host         10.10.10.100
    Port         514
    Exec         to_syslog_snare();
</Output>
<Route 1>
    Path        eventlog => logcontents
</Route>

<Route 2>
    Path        agentlogging => agentlog
</Route>
    
por satch_boogie 24.11.2017 / 08:02

2 respostas

1

Para enviar syslog do NXLog para um servidor syslog você precisaria usar o módulo de extensão xm_syslog e chamar um dos formatadores ( to_syslog_bsd() , to_syslog_ietf() , to_syslog_snare() ) dependendo do formato desejado que o seu servidor syslog suporta. Para obter mais detalhes, consulte a seção Syslog no Guia do usuário .

Enquanto alguns eventos USB são armazenados no log de eventos do Windows, há outras fontes de dados para eventos USB:

  • Rastreamento de eventos do Windows (ETW). O NXLog EE tem um módulo chamado im_etw que pode coletar logs do ETW diretamente. Veja esta postagem para obter a lista de provedores de ETW relacionados.
  • registro do Windows. Dispositivos USB são enumerados em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB e, ao monitorar essa seção do Registro, é possível detectar alterações na configuração USB. O módulo de entrada im_regmon suporta o monitoramento do registro no NXLog EE.
por 25.11.2017 / 13:43
0

Finalmente consegui trabalhar, mas os passos são bem idiotas coisa / erro: -

1) No arquivo nxlog.conf, altere o parâmetro dentro de <Input eventlog>      ReadFromLast TRUE to ReadFromLast FALSE e comentar as linhas (colocar hash # infront) 

#<Select Path='Application'>*</Select>
#<Select Path='Security'>*</Select>
#<Select Path='System'>*</Select>
<Select Path='Microsoft-Windows-DriverDriverFrameworks-UserMode/Operational'>*</Select>

2) Reinicie o serviço nxlog do gerenciador de tarefas

3) Remova o comentário das linhas comentadas anteriormente

4) reinicie o serviço nxlog

5) Insira o pendrive USB na máquina windows2012 e verifique os registros

e eu tenho os logs começando a aparecer, eu ainda não sei o que desencadeia essa coisa .. desde que eu quero ler os logs do passado, eu mudei o ReadFromLast FALSE para ReadFromLast TRUE e os logs ainda estão aparecendo

    
por 24.11.2017 / 09:19

Tags

Depois de reinstalar um controlador de domínio, como recuperar computadores membros sem se reunir novamente? [duplicado] Como fazer o Bonjour (mDNS) funcionar sobre o OpenVPN?