0

我试图通过 NXLog 仅将警告/错误/关键级别的应用程序日志传递到我的 ELK 堆栈。当我有这个配置时

<Input EventLog_In> Module im_msvistalog # this kinda works for me, put * to get everything Query <QueryList>\ <Query Id="0">\ <Select Path="Application">*</Select>\ </Query>\ </QueryList> Exec to_json(); </Input>

一切正常,我正在收集所有级别的应用程序日志。我试着在这样的<Select Path>线上输入一个参数

<Select Path="Application">*[Application/Level=1]</Select>\

它自己胡扯,我什么也得不到。NXLog 没有报告任何问题,我在 logstash 方面也没有看到任何东西。

我从该线程获得了有关事件查看器查询的信息,并将其调整为我的用例: https ://serverfault.com/questions/543494/query-specific-logs-from-event-log-using-nxlog

4

1 回答 1

0

弄清楚了。显然错误级别的参考不是应用程序,而是系统。我的查询现在看起来像这样并且完美无缺

<Select Path="Application">*[System[(Level=1 or Level=2 or Level=3)]]</Select>\

我正在使用 Windows Server 2008 R2,fwiw。

于 2015-10-22T19:49:38.220 回答