Как я могу собирать события доменной службы Active Directory и события DNS с Nxlog?

Моя проблема в том, что я не могу собирать события ADDS или DNS с Nxlog и отправлять их на сервер ELK. В конфиге Nxlog для сервера DC и DNS у меня есть следующий запрос

<QueryList>\
  <Query Id="0">\
     <Select Path="Security">*</Select>\
     <Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
     <Select Path="System">*[System/Level=2]</Select>\
     <Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
     <Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
  </Query>\
</QueryList>

Конфигурационный файл работает корректно без путей Active Directory и DNS. Нужные журналы безопасности и системы корректно отправляются в ELK. Я также попытался оставить только пути ADDS или DNS в файле конфигурации без удачи. Я не думаю, что у меня есть правильные пути для ADDS и DNS в конфигурации, и это моя проблема. Мои Google-fu и Bing-fu не нашли никаких результатов, предоставляя мне канал с идентификатором событий для событий ADDS и DNS. Я нашел только каналы Event ID для приложения, безопасности, системы и установки. Какие-либо предложения? Я за любой!

Сервер DC\DNS и сервер ELK работают на Windows Server 2012. При установке ELK используются последние стабильные выпуски ELK.

1 ответ

Решение

Я нашел ответ. В окне "Просмотр событий" на сервере DC\DNS щелкните правой кнопкой мыши канал с идентификатором события, например "Служба каталогов", выберите "Фильтровать текущий журнал". При этом откроется окно Filter Current Log. Нажмите на вкладку XML, чтобы найти информацию в списке запросов!

<QueryList>
  <Query Id="0" Path="Directory Service">
    <Select Path="Directory Service">*</Select>
  </Query>
</QueryList>

Я проверил это работает для службы каталогов и DNS. Я подключил Select Path и добавил обратную косую черту в моем конфигурационном файле Nxlog.

Другие вопросы по тегам