Mi problema es que no puedo recopilar eventos ADDS o DNS con Nxlog y enviarlos a un servidor ELK. En la configuración de Nxlog para el servidor DC y DNS tengo la siguiente consulta
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
El archivo de configuración funciona correctamente sin las rutas de Active Directory y DNS. Los registros de seguridad y sistema deseados van a ELK correctamente. También intenté dejar solo las rutas ADDS o DNS en el archivo de configuración sin suerte. No creo tener las rutas correctas para ADDS y DNS en la configuración y ese es mi problema. Mi Google-fu y Bing-fu no han encontrado ningún resultado que me proporcione el canal de ID de evento para eventos ADDS y DNS. Solo encontré los canales de ID de evento para Aplicación, Seguridad, Sistema y Configuración. ¿Alguna sugerencia? ¡Me apunto a cualquiera!
El servidor DC\DNS y el servidor ELK se ejecutan en Windows Server 2012. La instalación de ELK ejecuta las últimas versiones estables de ELK.
Respuesta1
Encontré la respuesta. En el Visor de eventos en el servidor DC\DNS, haga clic derecho en el canal de ID de evento, por ejemplo, Servicio de directorio, elija Filtrar registro actual. Al hacerlo, aparecerá la ventana Filtrar registro actual. Haga clic en la pestaña XML para encontrar la información de la Lista de consultas.
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
He verificado que esto funciona para el servicio de directorio y DNS. Conecté Seleccionar ruta y agregué una barra invertida en mi archivo de configuración de Nxlog.