[Windows] Transférer les journaux d’événements vers Linux

Transférez les journaux d'événements Windows vers Linux pour centraliser la gestion des journaux Le cadre à ce moment-là.

Introduisez un outil appelé "NXlog" dans Windows. Cliquez ici pour télécharger ↓ https://nxlog.co/products/nxlog-community-edition/download

Sélectionnez la version de Windows, placez-la sur le serveur et installez-la. Il n'y a pas de choix particulier, et l'installation sera terminée en un instant.
Lorsque vous avez terminé, modifiez le fichier de configuration. C:\Program Files (x86)\nxlog\conf\nxlog.conf

Modifiez le contenu du fichier comme suit.

`nxlog.conf`


## This is a sample configuration file. See the nxlog reference manual about the
## configuration options. It should be installed locally and is also available
## online at http://nxlog.org/docs/

## Please set the ROOT to the folder your nxlog was installed into,
## otherwise it will not start.

#define ROOT C:\Program Files\nxlog
define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension syslog>
Module xm_syslog
</Extension>

<Extension charconv>
Module xm_charconv
AutodetectCharsets shift_jis, utf-8
</Extension>

<Extension json>
Module xm_json
</Extension>

<Input in>
Module im_msvistalog
Query <QueryList>\
<Query Id="0">\
<Select Path="Application">*[System[(Level=1 or Level=2 or Level=3)]]</Select>\
<Select Path="System">*[System[(Level=1 or Level=2 or Level=3)]]</Select>\
<Select Path="Security">*[System[(Level=1 or Level=2 or Level=3)]]</Select>\
</Query>\
</QueryList>
Exec $raw_event = "json=" + to_json(); $SyslogFacilityValue = 21;
Exec convert_fields("utf-8", "utf-8");
</Input>

<Processor t>
Module pm_transformer
OutputFormat syslog_bsd
Exec $Message=(": "+$raw_event);
</Processor>

<Output out>
Module om_udp
Host xxx.xxx.xxx.xxx
Port 514
</Output>

<Route r>
Path in => t => out
</Route>

Dans «Sortie sortie», spécifiez l'adresse IP et le port du serveur que vous souhaitez envoyer.

"QueryList" de Select Path="Application" Select Path="System" Select Path="Security" Vous pouvez sortir chaque journal des événements et spécifier le niveau avec. Si vous le désactivez, l'événement ne sera pas craché. Le niveau est en dessous de la référence ↓ Critique = Niveau1 Erreur = Niveau2 Avertissement = niveau 3 Information = Niveau4
Vient ensuite le paramétrage du serveur Linux de destination du transfert. Ajoutez ce qui suit à rsyslog.conf </ font>

`rsyslog.conf`


## Remote host logging
:fromhost-ip, isequal, "xxx.xxx.xxx.xxx" /var/log/xxxx.log
& stop

Spécifiez l'adresse IP du serveur NXLOG et la destination de sortie du journal. Vous pouvez également éditer ce fichier pour restreindre l'installation ou changer le format de sortie.
finalement Redémarrez le service nxlog sous Windows Redémarrez rsyslog sous Linux

systemctl restart rsyslog

Le fichier journal spécifié doit avoir été créé et le contenu du journal des événements doit avoir été craché. Comme ça

Jul 3 11:00:29 dango NRPE_NT[0]: [err] : json={"EventTime":"2018-07-03 11:00:28","Hostname":"dango","Keywords":36028797018963968,"EventType":"ERROR","SeverityValue":4,"Severity":"ERROR","EventID":3,"SourceName":"NRPE_NT","Task":4,"RecordNumber":8618,"ProcessID":0,"ThreadID":0,"Channel":"Application","ERROR_EVT_UNRESOLVED":true,"EventReceivedTime":"2018-07-03 11:00:29","SourceModuleName":"in","SourceModuleType":"im_msvistalo

C'est difficile à voir, mais vous pouvez y remédier en modifiant rsyslog.conf.
C'est tout