0

我只想从“puppet”源上传事件,即“Windows Logs\Application”。我想我必须换行<Select Path = 'Application'> * </Select>

如何在 nxlog.conf 中过滤源“puppet”?

<Input in>
    Module       im_msvistalog
    ReadFromLast TRUE
    <QueryXML>
       <QueryList>
         <Query Id='1'>
           <Select Path='Application'>*</Select>      
         </Query>
       </QueryList>
   </QueryXML>
   Exec $FileName = 'winapp.log';
   Exec $EventTime = $EventReceivedTime;   
 </Input>

<Output out1>
 Module om_udp
 Host 10.10.0.40
 Port 514
 Exec to_syslog_bsd();
</Output>

<Route 1>
Path in => out1
</Route>
4

1 回答 1

1

这是我的做法:

<Query Id='1'>
    <Select Path="Application">*[System[Provider[(@Name="MySrcName")]]]</Select>
</Query>

我通过打开 windows事件查看器找到了树路径:System > Provider > Name,然后选择您的事件,然后选择事件属性,然后选择详细信息

我之所以这么说,是因为根据您的 Windows 版本,它可能会有所不同。

于 2020-01-29T16:24:21.463 回答