在 NXLog 中选择特定级别的 Windows 应用程序日志的问题
Posted
技术标签:
【中文标题】在 NXLog 中选择特定级别的 Windows 应用程序日志的问题【英文标题】:Issue selecting specific levels of windows application logs in NXLog 【发布时间】:2015-10-22 14:18:54 【问题描述】:我试图通过 NXLog 仅将警告/错误/关键级别的应用程序日志传递到我的 ELK 堆栈。当我有这个配置时
<Input EventLog_In>
Module im_msvistalog
# this kinda works for me, put * to get everything
Query <QueryList>\
<Query Id="0">\
<Select Path="Application">*</Select>\
</Query>\
</QueryList>
Exec to_json();
</Input>
一切正常,我正在收集所有级别的应用程序日志。我试着像这样在<Select Path> 行上输入一个参数
<Select Path="Application">*[Application/Level=1]</Select>\
而且它会自己胡扯,我什么也得不到。 NXLog 没有报告任何问题,我在 logstash 方面也没有看到任何东西。
我从这个线程中获得了有关事件查看器查询的信息,并将其调整为我的用例: https://serverfault.com/questions/543494/query-specific-logs-from-event-log-using-nxlog
【问题讨论】:
【参考方案1】:想通了。显然错误级别的参考不是应用程序,而是系统。我的查询现在看起来像这样并且完美无缺
<Select Path="Application">*[System[(Level=1 or Level=2 or Level=3)]]</Select>\
我正在使用 Windows Server 2008 R2,fwiw。
【讨论】:
以上是关于在 NXLog 中选择特定级别的 Windows 应用程序日志的问题的主要内容,如果未能解决你的问题,请参考以下文章