2

syslog-ng Agent for Windows v5.0.7 を使用して、Syslog-ng PE v5.0 がインストールされているメイン Syslog サーバーに Windows サーバーを記録する際に問題があります。

エージェント ウォークからのログは複数行の形で表示されます。以下を参照してください。誰かが同様の問題を抱えていましたか?ログが 1 行になるように設定オプションはありますか? またはいくつかの書き換え構成?

皆さんに感謝します

syslog サーバーの syslog.conf での Windows ログの構成と複数のログ:

filter f_syslog_win_exc { host("(11.22.33.44)"); };
destination d_syslog_win_exc { file("/var/nsm/windows_syslog/test/exch/$HOST-$R_YEAR$R_MONTH$R_DAY.log"); };
log { source(remote_windows); filter(f_syslog_win_exc);       destination(d_syslog_win_exc); };



Jun  9 14:51:33 11.22.33.44 1084 <133>1 2015-06-09T14:51:33+02:00 win_server_2k8 Microsoft_Windows_security_auditing. 508 - [win@18372.4 EVENT_CATEGORY="User Account Management" EVENT_FACILITY="16" EVENT_ID="4725" EVENT_LEVEL="0" EVENT_NAME="Security" EVENT_REC_NUM="210139" EVENT_SID="N/A" EVENT_SOURCE="Microsoft Windows security auditing." EVENT_TASK="User Account Management" EVENT_TYPE="Success Audit" EVENT_USERNAME="win_server_2k8\\syslog-user"][meta sequenceId="3" sysUpTime="14899"] 

Jun  9 14:51:33      4725    Security        win_server_2k8\syslog-user   User    Success Audit   win_server_2k8   User Account Management          A user account was disabled.

Jun  9 14:51:33 11.22.33.44 Subject:

Jun  9 14:51:33 11.22.33.44 Security ID:  win_server_2k8\test

Jun  9 14:51:33 11.22.33.44 Account Name:  test

Jun  9 14:51:33 11.22.33.44 Account Domain:  win_server_2k8       210139  A user account was disabled.

Jun  9 14:51:33 11.22.33.44 Subject:

Jun  9 14:51:33 11.22.33.44 Security ID:  win_server_2k8\test

Jun  9 14:51:33 11.22.33.44 Account Name:  test
4

1 に答える 1

0

デフォルトでは、syslog-ng Windows エージェントは、新しい RFC5424 プロトコルを使用してログを送信します。受信側は従来の syslog プロトコルを使用しているようです。受信側では tcp() の代わりに syslog() ソースを使用する必要があります。これにより、複数行のメッセージが適切に処理されます。

于 2015-06-09T19:11:04.343 に答える