我们想将Microsoft Windows DHCP服务器操作事件日志收集到Splunk中,似乎有些麻烦。
在Windows Event Viewer导航树中我们感兴趣的日志的路径是
> Applications and Services Logs
> Microsoft
> Windows
> DHCP-Server
- Microsoft-Windows-DHCP Server Events/Operational
我们认为问题出在我们的输入配置上,我们已经在inputs.conf中尝试了许多不同的配置,这些配置似乎适用于该应用程序,包括以下内容,但我们尚未收到任何事件。
[WinEventLog://Microsoft-Windows-DHCP Server Events/Operational]
和
[WinEventLog://Microsoft-Windows-DHCP-Server/Microsoft-Windows-DHCP Server Events/Operational]
这些配置导致以下错误:
消息来自““ C:\ Program Files \ SplunkUniversalForwarder \ bin \ splunk-winevtlog.exe”“ splunk-winevtlog-WinEventMon :: configure:无法找到通道名称为“ Microsoft-Windows-DHCP服务器事件的事件日志” /运营'
消息来自““ C:\ Program Files \ SplunkUniversalForwarder \ bin \ splunk-winevtlog.exe”“ splunk-winevtlog-WinEventMon :: configure:未能找到通道名='Microsoft-Windows-DHCP-Server的事件日志/ Microsoft-Windows-DHCP服务器事件/操作'
对此将提供任何帮助。
谢谢。
答案 0 :(得分:0)
获取正确的全名的最简单方法是右键单击日志叶子节点,然后选择属性,然后在“常规”标签,您将看到一个 全名 字段。选择该字段的完整内容,然后将该确切值粘贴到您的input.conf中,例如[WinEventLog:// Microsoft-Windows-DNS-Client / Operational]名称。
我没有DHCP服务器可以复制确切的值,但是我很确定它将类似于“ Microsoft-Windows-Dhcp-Server / Operational”。