在 NXLog 中选择特定级别的 Windows 应用程序日志的问题

Posted

技术标签:

【中文标题】在 NXLog 中选择特定级别的 Windows 应用程序日志的问题【英文标题】:Issue selecting specific levels of windows application logs in NXLog 【发布时间】:2015-10-22 14:18:54 【问题描述】:

我试图通过 NXLog 仅将警告/错误/关键级别的应用程序日志传递到我的 ELK 堆栈。当我有这个配置时

<Input EventLog_In> Module im_msvistalog # this kinda works for me, put * to get everything Query <QueryList>\ <Query Id="0">\ <Select Path="Application">*</Select>\ </Query>\ </QueryList> Exec to_json(); </Input>

一切正常,我正在收集所有级别的应用程序日志。我试着像这样在&lt;Select Path&gt; 行上输入一个参数

&lt;Select Path="Application"&gt;*[Application/Level=1]&lt;/Select&gt;\

而且它会自己胡扯,我什么也得不到。 NXLog 没有报告任何问题,我在 logstash 方面也没有看到任何东西。

我从这个线程中获得了有关事件查看器查询的信息,并将其调整为我的用例: https://serverfault.com/questions/543494/query-specific-logs-from-event-log-using-nxlog

【问题讨论】:

【参考方案1】:

想通了。显然错误级别的参考不是应用程序,而是系统。我的查询现在看起来像这样并且完美无缺

&lt;Select Path="Application"&gt;*[System[(Level=1 or Level=2 or Level=3)]]&lt;/Select&gt;\

我正在使用 Windows Server 2008 R2,fwiw。

【讨论】:

以上是关于在 NXLog 中选择特定级别的 Windows 应用程序日志的问题的主要内容,如果未能解决你的问题,请参考以下文章

Pandas:修改特定级别的 Multiindex

将特定级别的所有警告视为错误,而不是下一级的警告

使用分类索引值对特定级别的多索引系列进行排序

php 对于在注册新网站时已经拥有特定级别的专业版网站的用户自动应用折扣。这将打折

nxlog.conf 过滤 Windows 事件日志问题

NXLog 和旧的 Windows 事件