私の問題は、NxlogでADDSまたはDNSイベントを収集してELKサーバーに送信できないことです。DCとDNSサーバーのNxlog構成には、次のクエリがあります。
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
構成ファイルは、Active Directory および DNS パスがなくても正常に動作します。必要なセキュリティ ログとシステム ログは、ELK に正しく送信されます。また、ADDS または DNS パスのみを構成ファイルに残すことも試みましたが、うまくいきませんでした。構成に ADDS および DNS の正しいパスがないのが問題だと思います。Google および Bing で検索しても、ADDS および DNS イベントのイベント ID チャネルを示す結果は見つかりませんでした。アプリケーション、セキュリティ、システム、およびセットアップのイベント ID チャネルしか見つかりませんでした。何か提案はありますか? 何でも歓迎します!
DC\DNS サーバーと ELK サーバーは Windows Server 2012 上で実行されています。ELK インストールでは、ELK の最新の安定リリースが実行されています。
答え1
答えが見つかりました。DC\DNS サーバーのイベント ビューアーで、イベント ID チャネル (例: ディレクトリ サービス) を右クリックし、[現在のログをフィルター] を選択します。そうすると、[現在のログをフィルター] ウィンドウが表示されます。[XML] タブをクリックして、クエリ リスト情報を見つけます。
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
私はこれがディレクトリ サービスと DNS で機能することを確認しました。Select Path をプラグインし、Nxlog 構成ファイルにバック スラッシュを追加しました。