中央ログ サーバーをセットアップしようとしています。nxlog を使用して、elasticsearch の logstash と kibana を実行している ubuntu サーバーにウィンドウのセキュリティ イベントを送信していますが、nxlog が出力するログ ファイルは正しく見えません。私は Windows 8 を使用しており (まもなく 10 にアップデートされる可能性があります)、データを解析するために何をする必要があるのか疑問に思っています。grok を試しましたが、一部のフィールドが空白で、ログに 2 つの日付/時刻もあります。
*注 Google で検索し、他の人の提案を試してみましたが、ログは常に同じ結果になります。JSONではなくXMLとしてエクスポートしようとしても。
nxlog.conf
#define ROOT C:\Program Files\nxlog
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
<Extension syslog>
Module xm_syslog
</Extension>
<Extension json>
Module xm_json
</Extension>
<Input in>
Module im_msvistalog
Query <QueryList> \
<Query Id="0"> \
# <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select> \
# <Select Path="Application">*</Select> \
# <Select Path="System">*</Select> \
<Select Path="Security">*</Select> \
</Query> \
</QueryList>
Exec $Message = to_json(); to_syslog_bsd();
</Input>
<Output out>
Module om_tcp
Host XXX.XXX.XXX.XXX
Port 9999
</Output>
<Route 1>
Path in => out
</Route>
logstash.conf
input {
tcp {
port => 9999
codec => json
tags => ["windows","eventlog"]
type => 'nxlog-json'
}
}
output {
elasticsearch {
host => localhost
}
}
logstash で受け取った json
"<5>Aug 12 15:45:06 JOE>SMITH.com MSWinEventLog\t5\tSecurity\t1319\tWed Aug 12 15:45:03 2015\t4779\tMicrosoft-Windows-Security-Auditing\t\tN/A\tAudit Success\tJOE.SMITH.com\t12551\tA session was disconnected from a Window Station.\r\n\r\nSubject:\r\n\tAccount Name:\t\tnoob.jwsmith\r\n\tAccount Domain:\t\tITORG\r\n\tLogon ID:\t\t0x151258A\r\n\r\nSession:\r\n\tSession Name:\t\tRDP-Tcp#66\r\n\r\nAdditional Information:\r\n\tClient Name:\t\tJOESMITH\r\n\tClient Address:\t\tXXX.XXX.XXX.XXX\r\n\r\n\r\nThis event is generated when a user disconnects from an existing Terminal Services session, or when a user switches away from an existing desktop using Fast User Switching.\n"