一直在尝试使用 sysmon 设置 Windows 主机日志文件。这是成功的。日志记录发生在事件日志文件窗口中 系统可操作。
第二步是让 nxlog 读取它并将其发送到远程系统日志服务器。但什么也没发生。为了进行故障排除,我正在尝试记录到本地文件,也没有任何内容。
这是我的NXLog配置文件,
#define ROOT C:Program Files (x86)nxlog
Moduledir %ROOT%modules
CacheDir %ROOT%data
Pidfile %ROOT%datanxlog.pid
SpoolDir %ROOT%data
LogFile %ROOT%datanxlog.log
LogLevel DEBUG
<Extension _syslog>
Module xm_syslog
</Extension>
<Input eventlog>
Module im_msvistalog
<QueryXML>
<QueryList>
<Query Id="0">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>
</QueryXML>
</Input>
<Output syslog>
Module om_tcp
Host 192.168.0.61
Port 514
Exec to_syslog_bsd();
</Output>
<Output file>
Module om_file
File 'C:testsysmon.json'
Exec to_json();
</Output>
<Route 1>
Path eventlog => syslog
</Route>
<Route 2>
Path eventlog => file
</Route>
日志说的是2017-10-31 21:59:21 信息 nxlog-ce-2.9.1716 开始2017-10-31 21:59:21 INFO 连接到 192.168.0.61:514
但是没有日志文件,没有记录到tcp..
我猜您的 syslog 服务器不接受由于流量控制而阻塞整个管道的 tcp 连接,包括写入本地文件的其他路由。