上記のリンクは、私の nxlog.conf のコピーです。querylist ブロック内で複数のブロックを使用する方法に関するドキュメントは見つかりませんでしたが、名前に基づいて、これを実行できると想定しました。ELK サーバーは現在、フィルタリングされたイベントではなく、すべてのイベントを受信しています。クエリ ブロックを 1 つだけ使用したかったのですが、10 個の選択エントリに制限されています。3 つ以上の select エントリを使用している人々の例は見つかりません。より高度なnxlog.confで運が良かった人はいますか? どんな助けでも大歓迎です。
1474 次
2 に答える
0
クエリ xml の何が問題なのかわからない。選択エントリの数に制限がある場合、それは Windows Eventlog API から来ているため、仕方がありません。
一方、drop()を使用して nxlog のネイティブ フィルタリングを使用できます。
Query <QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
</Query>\
</QueryList>
Exec if not ($EventID == 1 or $EventID == 2 or ...) drop();
于 2015-05-02T12:20:44.317 に答える
0
実際、XML には問題はありません。クエリなしで nxlog.conf をテストしていたときから、データベースに古い結果が表示されていました。悪い!
于 2015-05-02T12:58:18.203 に答える