一直在尝试使用sysmon设置Windows主机日志文件。这是成功的。 记录发生在eventlogfile窗口sysmon操作中。
第二步是让nxlog读取它并将其发送到远程syslog服务器。但没有任何反应。对于疑难解答我试图登录到本地文件也没什么。
这是我的nxlog配置文件,
#define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
LogLevel DEBUG
<Extension _syslog>
Module xm_syslog
</Extension>
<Input eventlog>
Module im_msvistalog
<QueryXML>
<QueryList>
<Query Id="0">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>
</QueryXML>
</Input>
<Output syslog>
Module om_tcp
Host 192.168.0.61
Port 514
Exec to_syslog_bsd();
</Output>
<Output file>
Module om_file
File 'C:\test\sysmon.json'
Exec to_json();
</Output>
<Route 1>
Path eventlog => syslog
</Route>
<Route 2>
Path eventlog => file
</Route>
所有日志都说是 2017-10-31 21:59:21 INFO nxlog-ce-2.9.1716开始了 2017-10-31 21:59:21 INFO连接到192.168.0.61:514
但是没有日志文件,没有记录到tcp ..
答案 0 :(得分:0)
我猜您的系统日志服务器不接受tcp连接,该连接由于流控制而阻塞整个管道,包括写入本地文件的其他路由。