Nxlog - отправка событий Windows в GrayLog

1111111111Rating 0.00 (0 Votes)
Необходимо загрузить NXLog Community Edition с офф. сайта, после загрузки установить на Windows машину, нас интересует в первую очередь два файла, в моем случае они расположены:
  • c:\Program Files (x86)\nxlog\conf\nxlog.conf
  • c:\Program Files (x86)\nxlog\data\nxlog.log
Данные для отправки в GrayLog будем отправлять в формате json, ниже представлен пример конфига, который отправляет данные в указанном формате с использованием query фильтров:
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
<Extension json>
 Module xm_json
</Extension>
<Extension syslog>
 Module xm_syslog
</Extension>
<Input eventlog>
 Module im_msvistalog
 Query   <QueryList>\
        <Query Id="0">\
            <Select Path="Application">*[System[(Level=1 or Level=2 or Level=3)]]</Select>\
            <Suppress Path="Application">*[System[(EventID=6 or EventID=13 or EventID=64 or EventID=65 or EventID=7036)]]</Suppress>\
            <Select Path="Security">*[System[(EventID=4624 or EventID=4634)]]</Select>\
            <Select Path="Setup">*[System/Level=3]</Select>\
            <Select Path="System">*[System/Level=4]</Select>\
        </Query>\
    </QueryList>
 Exec $Message = to_json();
</Input>
<Output out>
 Module om_tcp
 Host xxx.xxx.xx.x
 Port 514
 Exec to_syslog_ietf();
</Output>
<Route 1>
 Path eventlog => out
</Route>
Далее необходимо запустить nxlog сервис, либо при помощи оснастки Services либо при помощи командной строки запущенной от имени администратора:
net start nxlog
Обязательно посмотреть лог в котором должна отображаться информация об успешном запуске:
2017-01-05 10:28:13 INFO connecting to xxx.xxx.xx.x:514
2017-01-05 10:28:13 INFO nxlog-ce-2.9.1716 started
Создаем свое событие:
eventcreate /l "application" /t warning /so "Event from MyServer" /id 200 /d "Hi from Sys-Adm.in!"
Наблюдаем результат в GrayLog (некоторые места подрезал):
{"EventTime":"2017-01-05 10:51:59","Hostname":"MyServer","Severity":"WARNING","EventID":200,"SourceName":"Event from MyServer","Message":"Hi from Sys-Adm.in!","SourceModuleName":"eventlog","SourceModuleType":"im_msvistalog"}

Добавить комментарий


Обновить
Защитный код

Сейчас 84 гостей и ни одного зарегистрированного пользователя на сайте

Вверх
Вниз