sysmon 到 nxlog 不记录任何文件或 tcp
Posted
技术标签:
【中文标题】sysmon 到 nxlog 不记录任何文件或 tcp【英文标题】:sysmon to nxlog logs nothing to file nor tcp 【发布时间】:2017-10-31 21:35:48 【问题描述】:一直在尝试使用 sysmon 设置 Windows 主机日志文件。这是成功的。 日志记录发生在 eventlogfile windows sysmon 操作中。
第二步是让 nxlog 读取它并将其发送到远程系统日志服务器。但什么也没有发生。为了进行故障排除,我试图登录到本地文件也没有。
这是我的 nxlog 配置文件,
#define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
LogLevel DEBUG
<Extension _syslog>
Module xm_syslog
</Extension>
<Input eventlog>
Module im_msvistalog
<QueryXML>
<QueryList>
<Query Id="0">
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
</QueryList>
</QueryXML>
</Input>
<Output syslog>
Module om_tcp
Host 192.168.0.61
Port 514
Exec to_syslog_bsd();
</Output>
<Output file>
Module om_file
File 'C:\test\sysmon.json'
Exec to_json();
</Output>
<Route 1>
Path eventlog => syslog
</Route>
<Route 2>
Path eventlog => file
</Route>
所有日志都说是 2017-10-31 21:59:21 INFO nxlog-ce-2.9.1716 开始 2017-10-31 21:59:21 INFO 连接到 192.168.0.61:514
但是没有日志文件,没有记录到 tcp ..
【问题讨论】:
慢慢变得更聪明。显然,该服务在运行时会阻止配置文件。所以它拒绝一个新的配置。首先停止服务器,然后使用以 root 身份运行的编辑器进行编辑,然后重新启动服务器。现在我在日志文件中获取调试信息 debug 说:过程 'to_json()' 不存在或采用不同的参数 现在可以使用了。整个问题是 nxlog 无法轻松读取新的配置文件。我卸载了 nxlog 并重新安装了它。您需要使用作为 root 加载的文本编辑器写入配置文件,全部在 windows7 上。 【参考方案1】:我猜你的系统日志服务器不接受由于流控制而阻塞整个管道的 tcp 连接,包括写入本地文件的其他路由。
【讨论】:
以上是关于sysmon 到 nxlog 不记录任何文件或 tcp的主要内容,如果未能解决你的问题,请参考以下文章