Meu problema é que não consigo coletar eventos ADDS ou DNS com Nxlog e enviá-los para um servidor ELK. Na configuração do Nxlog para o servidor DC e DNS tenho a seguinte Consulta
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
O arquivo de configuração funciona corretamente sem os caminhos do Active Directory e DNS. Os logs de segurança e sistema desejados vão para o ELK corretamente. Também tentei deixar apenas os caminhos ADDS ou DNS no arquivo de configuração, sem sorte. Acho que não tenho os caminhos corretos para ADDS e DNS na configuração e esse é o meu problema. Meu Google-fu e Bing-fu não encontraram nenhum resultado fornecendo o canal de ID de evento para eventos ADDS e DNS. Encontrei apenas os canais de ID de evento para aplicativo, segurança, sistema e configuração. Alguma sugestão? Estou pronto para qualquer um!
O servidor DC\DNS e o servidor ELK estão em execução no Windows Server 2012. A instalação do ELK está executando as versões estáveis mais recentes do ELK.
Responder1
Eu encontrei a resposta. No Event Viewer no servidor DC\DNS, clique com o botão direito no canal Event ID, por exemplo, Directory Service, escolha Filter Current Log. Fazer isso abrirá a janela Filtrar Log Atual. Clique na aba XML para encontrar as informações da Lista de Consultas!
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
Verifiquei que isso funciona para serviço de diretório e DNS. Conectei o Select Path e adicionei uma barra invertida em meu arquivo de configuração Nxlog.