내 문제는 Nxlog로 ADDS 또는 DNS 이벤트를 수집하여 ELK 서버로 보낼 수 없다는 것입니다. DC 및 DNS 서버에 대한 Nxlog 구성에는 다음 쿼리가 있습니다.
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
구성 파일은 Active Directory 및 DNS 경로 없이도 올바르게 작동합니다. 원하는 보안 및 시스템 로그가 ELK로 올바르게 이동됩니다. 또한 구성 파일에 ADDS 또는 DNS 경로만 남겨두려고 시도했지만 운이 없었습니다. 구성에 ADDS 및 DNS에 대한 올바른 경로가 없는 것 같은데 그게 내 문제입니다. 내 Google-fu와 Bing-fu에서는 ADDS 및 DNS 이벤트에 대한 이벤트 ID 채널을 제공하는 결과를 찾지 못했습니다. 응용 프로그램, 보안, 시스템 및 설정에 대한 이벤트 ID 채널만 찾았습니다. 어떤 제안이 있으십니까? 나는 무엇이든 할 수 있어요!
DC\DNS 서버와 ELK 서버는 Windows Server 2012에서 실행됩니다. ELK 설치는 ELK의 최신 안정 릴리스를 실행합니다.
답변1
나는 답을 찾았다. DC\DNS 서버의 이벤트 뷰어에서 이벤트 ID 채널(예: 디렉터리 서비스)을 마우스 오른쪽 버튼으로 클릭하고 현재 로그 필터링을 선택합니다. 그러면 현재 로그 필터링 창이 나타납니다. XML탭을 클릭하시면 Query List 정보를 보실 수 있습니다!
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
이것이 디렉터리 서비스 및 DNS에 대해 작동하는지 확인했습니다. Select Path를 연결하고 Nxlog 구성 파일에 백슬래시를 추가했습니다.