上面的链接是我的 nxlog.conf 的副本。我找不到任何关于如何在查询列表块中使用多个块的文档,但根据我认为我能够做到这一点的名称。我的 ELK 服务器现在正在接收所有事件,而不是任何过滤的事件。我只想使用一个查询块,但它仅限于 10 个选择条目。我找不到任何使用超过 3 个选择条目的人的例子。有没有人对更高级的 nxlog.conf 有任何运气?任何帮助,将不胜感激。
问问题
1474 次
2 回答
0
不确定查询 xml 的问题是什么。如果选择条目的数量有限制,那是来自 Windows 事件日志 API,因此无济于事。
另一方面,您可以使用 nxlog 的原生过滤使用drop():
Query <QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
</Query>\
</QueryList>
Exec if not ($EventID == 1 or $EventID == 2 or ...) drop();
于 2015-05-02T12:20:44.317 回答
0
实际上 XML 没有问题。当我在没有查询的情况下测试 nxlog.conf 时,我正在查看我的数据库中的旧结果。我的错!
于 2015-05-02T12:58:18.203 回答