警告/エラー/重大レベルのアプリケーション ログのみを NXLog 経由で ELK スタックに渡そうとしています。この構成になったら
<Input EventLog_In>
Module im_msvistalog
# this kinda works for me, put * to get everything
Query <QueryList>\
<Query Id="0">\
<Select Path="Application">*</Select>\
</Query>\
</QueryList>
Exec to_json();
</Input>
すべて正常に動作し、すべてのレベルのアプリケーション ログを収集しています。<Select Path>このような行にパラメーターを入れてみました
<Select Path="Application">*[Application/Level=1]</Select>\
そして、それはそれ自体が失敗し、私は何も得られません。NXLog は問題を報告しておらず、logstash 側には何も表示されていません。
このスレッドからイベント ビューアーのクエリに関する情報を取得し、それを自分のユース ケースに適合させました 。