問題タブ [nxlog]

Nxlog を使用して Windows Server ログを LogStash に転送し、特定の Windows eventId と等しくないメッセージを LogStash から削除しようとしています。これの正しい構文は何ですか?

これが私が試したことです：

と：

と

centOs5 に nxLog をインストールしようとしています。

「rpm -ivh nxlog-ce-2.8.1248-1.x86_64.rpm」を実行すると、次のエラーが表示されます。

私はこれらの依存関係を調べてきました (yum はそれらを解決できません)。そして、次のようなパッケージでそれらの多くを見つけることができます:

http://rpm.pbone.net/index.php3/stat/4/idpl/20908084/dir/centos_other/com/openssl10-libs-1.0.1e-1.ius.centos6.x86_64.rpm.html

ただし、これらはすべて centOs 6+ 用にラベル付けされています。nxlog のドキュメントには、centOs 5 をサポートしていると記載されています。これらの依存関係を解決するクリーンな方法はありますか? それとも、nxlog を実行できるようになるまで、これらのパッケージを組み合わせて一致させる必要がありますか?

ありがとう

まず、アドバイスと時間をありがとう。

私は最近、働き始めたばかりの会社のために Elk スタックをセットアップしました。(これは、Logstash と Nxlog を使用した初めての経験です。) 私がやりたいことは、nxlog を使用して IIS ログと EventLog の両方を同じ Web サーバーから logstash に送信することです。

1 つのソースから 2 種類のログを送信し、logstash.conf でこのデータを正しくフィルタリングする方法がわかりません。

これは私の nxlog.conf です

私の現在のlogstash.conf

タイプを設定し、 if type else this type を実行することで、さまざまなデータをフィルタリングできるようです。しかし、それらが同じソースからのものである場合、異なるタイプを指定するにはどうすればよいでしょうか?

：） ありがとう！

nxlog.conf

上記のリンクは、私の nxlog.conf のコピーです。querylist ブロック内で複数のブロックを使用する方法に関するドキュメントは見つかりませんでしたが、名前に基づいて、これを実行できると想定しました。ELK サーバーは現在、フィルタリングされたイベントではなく、すべてのイベントを受信して​​います。クエリ ブロックを 1 つだけ使用したかったのですが、10 個の選択エントリに制限されています。3 つ以上の select エントリを使用している人々の例は見つかりません。より高度なnxlog.confで運が良かった人はいますか? どんな助けでも大歓迎です。

IIS ログと Elasticsearch で解決しようとしている問題があります。何が起こっているのかというと、IIS ログのユーザー名にスラッシュ (/) ではなくバックスラッシュ () が含まれているということです。Elasticsearch が名前を返すと、入力時にエスケープされることを望んでいた \ がなくなりました。そのため、Elasticsearch または Kibana で結果を表示すると、ユーザー名に \ がなく、そこにあるスラッシュが正規表現として扱われます。この例として、ユーザー名 abcd\bob は abcdob として返されます。

また、IIS からの各エントリに _grokparsefailure タグが追加されるのは、この問題が原因であると考えています。

助言がありますか？

データを取得する私のNXLOGファイル：

私の Logstash.conf ファイル:

IIS ログ エントリの例: 2015-05-06 15:41:18 W3SVC2 WEB1 10.11.10.137 GET /main/ - 80 ABCD\smith 10.11.11.127 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.3;+WOW64;+Trident/7.0;+Touch;+.NET4.0E;+.NET4.0C;+Tablet+PC+2.0;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729;+InfoPath.3) cisession=a%3A4%3A%7Bs%3A10%3A%22session_id%22%3Bs%3A32%3A%22959e25c7a1663350eeb85edb676de096%22%3Bs%3A10%3A%22ip_address%22%3Bs%3A12%3A%2210.11.11.127%22%3Bs%3A10%3A%22user_agent%22%3Bs%3A120%3A%22Mozilla%2F4.0+%28compatible%3B+MSIE+7.0%3B+Windows+NT+6.3%3B+WOW64%3B+Trident%2F7.0%3B+Touch%3B+.NET4.0E%3B+.NET4.0C%3B+Tablet+PC+2.0%3B+.NET+CL%22%3Bs%3A13%3A%22last_activity%22%3Bi%3A1430926793%3B%7D08a40eacaf8b6eba6102c7746c35c46497a6502a http://my.domain.com/main/scheduling my.domain.com 200 0 0 11314 1009 1458

更新: 2 つ目の nxlog iis 入力/出力を追加し、logstash サーバーにデータを出力する代わりに、フラット ファイルに出力しました。

この出力を確認したところ、logstash サーバーにアクセスする前に、ユーザー名からバックスラッシュが削除されていることがわかりました。

ファイアウォールの syslog を取得するために graylog2 vm を使用していますが、非常にうまく動作します。nxlog を使用していくつかの Windows ログを取得したいのですが、まったく機能しません。

私の推測では、conf ファイルの xml コードが間違っていると思いますが、以前は間違っていました.. 注 : ログを取得したい VM と Windows サーバーは同じネットワーク上にあります。

問題は、私の gelf udp 入力が実行されていることですが、ソースには何も表示されません...何か問題がありますか?

編集/さらなる調査と支援の後。nxlog.conf を次のように変更しました。

おそらく実行中の入力を除いて、グレイログにはまだ何も表示されません。

次のログ形式があります。

完全なエントリを 1 行で表示したいので、複数行の拡張機能を使用します。

複数行の拡張子は、nxlog の開始後に入力ファイル内の既存のエントリに対して期待どおりに機能します。新しいエントリが出力に正しく書き込まれません。出力にはヘッダーのみが書き込まれます。誰かが私が間違っていることを知っていますか?

更新: im_file の PollInterval が問題のようです。nxlog のドキュメント (セクション xm_multiline) に次のように記載されています。

注 新しいヘッダーが読み取られるまで、モジュールはメッセージの終わりを認識しないため、前のメッセージがバッファーに保管されます。im_file モジュールは、構成された PollInterval タイムアウトの後に、このバッファーを強制的にフラッシュします。この動作が受け入れられない場合は、ある種のカプセル化方法 (JSON、XML、RFC5425 など) の使用を検討するか、可能であれば EndLine で終了マーカーを使用してください。

それで、エンドマーカーを使用していますが、機能しません。EndLine に別の値を試してみました (regex: /^\s*$/ String: " ")