События и источник NXLog Windows

Я хочу загружать события только из «марионеточного» источника, которым является «Журналы Windows\Приложение». Думаю, мне нужно изменить строку <Select Path = 'Application'> * </Select>

Как отфильтровать исходную «марионетку» в nxlog.conf?

<Input in>
    Module       im_msvistalog
    ReadFromLast TRUE
    <QueryXML>
       <QueryList>
         <Query Id='1'>
           <Select Path='Application'>*</Select>      
         </Query>
       </QueryList>
   </QueryXML>
   Exec $FileName = 'winapp.log';
   Exec $EventTime = $EventReceivedTime;   
 </Input>

<Output out1>
 Module om_udp
 Host 10.10.0.40
 Port 514
 Exec to_syslog_bsd();
</Output>

<Route 1>
Path in => out1
</Route>

event-log nxlog
person Mr. NoNe    schedule 26.09.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

вот как я это сделал:

<Query Id='1'>
    <Select Path="Application">*[System[Provider[(@Name="MySrcName")]]]</Select>
</Query>

Я нашел путь в дереве: Система › Поставщик › Имя, открыв в окне просмотр событий, затем выбрав свое событие, затем свойства события , затем детали.

Я сказал это, потому что это может отличаться для вас в зависимости от вашей версии Windows.

person Chtiwi Malek    schedule 29.01.2020