Приведенная выше ссылка ведет на копию моего файла nxlog.conf. Я не смог найти никакой документации о том, как использовать несколько блоков в блоке списка запросов, но, основываясь на имени, я предположил, что смогу это сделать. Мой сервер ELK прямо сейчас получает ВСЕ события, а не какие-либо из отфильтрованных. Я хотел просто использовать один блок запроса, но он ограничен 10 элементами выбора. Я не могу найти примеры людей, использующих более трех избранных записей. Кому-нибудь повезло с более продвинутым nxlog.conf? Любая помощь будет оценена по достоинству.
список запросов nxlog не работает должным образом
Ответы (2)
Не уверен, в чем проблема с запросом xml. Если существует ограничение на количество выбранных записей, это исходит от Windows Eventlog API, так что ничего не поделаешь.
С другой стороны, вы можете использовать встроенную фильтрацию nxlog с помощью drop():
Query <QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
</Query>\
</QueryList>
Exec if not ($EventID == 1 or $EventID == 2 or ...) drop();
person
b0ti
schedule
02.05.2015
на самом деле с XML проблем нет. Я просматривал старые результаты в своей базе данных, когда тестировал nxlog.conf без запросов. Виноват!
person
bravosierra99
schedule
02.05.2015
