ວິທີການສົ່ງ log ຈາກເຄື່ອງ Windows ໄປຍັງ syslog server ດ້ວຍ nxlog

Wednesday, December 20, 2017

ວິທີການສົ່ງ log ຈາກເຄື່ອງ Windows ໄປຍັງ syslog server ດ້ວຍ nxlog

Image does not exist: https://nxlog.co/sites/default/files/nxlog_logo_large.png
ກ່ອນໜ້ານີ້ເຮົາໃຊ້ງານ Solarwind syslog ເພື່ອການສົ່ງ log ຂອງ Windows ໄປຍັງ syslog server ກັນມາແລ້ວ ຕອນນີ້ມາປ່ຽນໄປໃຊ້ Nxlog ເບິ່ງ
Nxlog Community Edition ເປັນຕົວໃຊ້ຟຣີສຳລັບການສົ່ງ log ໄປໃນຮູບແບບຕ່າງໆບໍ່ວ່າຈະເປັນ Syslog, CSV, GELF, JSON, XML, Windows EventLog ແລະ even custom formats ອື່ນໆ ທີ່ແລ້ວແຕ່ເຮົາຈະສ້າງຂຶ້ນມາ
ວິທີການຕິດຕັ້ງ
1. download nxlog community edition ຈາກ https://nxlog.co/products/nxlog-community-edition

2. ເມື່ອຕິດຕັ້ງສຳເລັດແລ້ວໃຫ້ສ້າງ configuration ເປັນດັ່ງນີ້

# for 32bit
#define ROOT C:Program Filesnxlog
# for 64bit
define ROOT C:Program Files (x86)nxlog
Moduledir %ROOT%modules
CacheDir %ROOT%data
Pidfile %ROOT%datanxlog.pid
SpoolDir %ROOT%data
LogFile %ROOT%datanxlog.log
# Include fileop while debugging, also enable in the output module below
#<Extension fileop>
# Module xm_fileop
#</Extension>
 
<Extension json>
 Module xm_json
</Extension>
 
<Extension syslog>
 Module xm_syslog
</Extension>
 
<Input internal>
 Module im_internal
 Exec $Message = to_json(); 
</Input>
<Input eventlog>
#Uncomment im_mseventlog for Windows XP/2000/2003
#Module im_mseventlog
# Uncomment im_msvistalog for Windows Vista/2008 and later
 Module im_msvistalog
# Exec $Message = to_json();
ReadFromLast True
#Query <QueryList>
# in case you want to specific type of event that you want to send.
#<Query Id=”0">
#<Select Path=”Security”>*</Select>
#<Select Path=”System”>*[System/Level=4]</Select>
#<Select Path=”Application”>*[Application/Level=2]</Select>
#<Select Path=”Setup”>*[System/Level=3]</Select>
#<Select Path=”Windows PowerShell”>*</Select>
#<Select Path=”Microsoft-Windows-Sysmon/Operational”>*</Select></Query>
#</QueryList>
</Input>
<Output syslogserver>
Module om_tcp
Host syslog-server-address
Port 514
Exec to_syslog_ietf(); 
# Exec $raw_event  =~ s/([.*])//g; $raw_event = replace($raw_event, '{', '[CUSTOMER_TOKEN@41058 tag="windows"] {', 1);
</Output>
<Route 1>
Path eventlog => syslogserver
</Route>

3. ຕ້ອງ restart nxlog service ຈາກນັ້ນກໍກວດສອບທີ່ຝັ່ງ syslog-ng server ໄດ້ເລີຍ
[tag]Linux, Windows, Log[/tag]

Posted by adminz at 11:33:56 in ລີນຸກ, ວິນໂດວ, ຊອບແວ
1534 views Add a comment

IF(A73X) {TRUE;}

Wednesday, December 20, 2017