sysmon to nxlog不会在文件和tcp中记录任何内容

Question

一直在尝试使用sysmon设置windows主机日志文件。这是成功的。日志记录发生在事件日志文件windows sysmon操作中。

第二步是让nxlog读取该文件并将其发送到远程syslog服务器。但是什么也没发生。为了排除故障，我尝试将日志记录到本地文件，也没有任何内容。

下面是我nxlog配置文件，

define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
LogLevel DEBUG

<Extension _syslog>
  Module      xm_syslog
</Extension>

<Input eventlog>
 Module      im_msvistalog
<QueryXML>
    <QueryList>
        <Query Id="0">
            <Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
        </Query>
    </QueryList>
  </QueryXML>
</Input>

<Output syslog>
 Module      om_tcp
 Host        192.168.0.61
 Port        514
 Exec        to_syslog_bsd();
</Output>

<Output file>
 Module  om_file
 File    'C:\test\sysmon.json'
 Exec    to_json();
</Output>

<Route 1>
 Path        eventlog => syslog
</Route>

<Route 2>
 Path        eventlog => file
</Route>

所有日志显示为2017-10-31 21:59:21信息nxlog-ce-2.9.1716已启动2017-10-31 21:59:21信息连接至192.168.0.61:514

但是没有日志文件，没有记录到tcp ..

Answer 1

我猜您的syslog服务器不接受tcp连接，tcp连接由于流量控制而阻塞整个管道，包括写入本地文件的其他路由。