Моя проблема в том, что я не могу собирать события ADDS или DNS с помощью Nxlog и отправлять их на сервер ELK. В конфигурации Nxlog для DC и DNS-сервера у меня есть следующий запрос
<QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
<Suppress Path="Security">*[System[(EventID=4624 or EventID=4776 or EventID=4634 or EventID=4672 or EventID=4688 or EventID=4769)]]</Suppress>\
<Select Path="System">*[System/Level=2]</Select>\
<Select Path="Microsoft-Windows-ActiveDirectory_DomainService">*</Select>\
<Select Path="Microsoft-Windows-DNS-Server-Service">*</Select>\
</Query>\
</QueryList>
Файл конфигурации работает правильно без путей Active Directory и DNS. Нужные журналы безопасности и системы отправляются в ELK правильно. Я также пытался оставить только пути ADDS или DNS в файле конфигурации, но безуспешно. Я не думаю, что у меня есть правильные пути для ADDS и DNS в конфигурации, и это моя проблема. Мои Google-fu и Bing-fu не нашли никаких результатов, предоставляющих мне канал идентификатора события для событий ADDS и DNS. Я нашел только каналы идентификатора события для приложения, безопасности, системы и настройки. Есть предложения? Я готов к любым!
Сервер DC\DNS и сервер ELK работают на Windows Server 2012. Установка ELK использует последние стабильные версии ELK.
решение1
Я нашел ответ. В Event Viewer на сервере DC\DNS щелкните правой кнопкой мыши по каналу Event ID, например, Directory Service, выберите Filter Current Log. Это откроет окно Filter Current Log. Щелкните вкладку XML, чтобы найти информацию о списке запросов!
<QueryList>
<Query Id="0" Path="Directory Service">
<Select Path="Directory Service">*</Select>
</Query>
</QueryList>
Я проверил, что это работает для Directory Service и DNS. Я подключил Select Path и добавил обратную косую черту в моем файле конфигурации Nxlog.