Splunk -收集操作事件日志

Question

我们希望将操作事件日志收集到Splunk中，并且似乎有一些问题。

在windows事件查看器导航树中，我们感兴趣的日志的路径是

> Applications and Services Logs
 > Microsoft
  > Windows
   > DHCP-Server
    -  Microsoft-Windows-DHCP Server Events/Operational

我们认为问题在于我们的输入配置，我们在inputs.conf中尝试了许多不同的配置，这些配置似乎适合这个应用程序，包括以下内容，但我们还没有收到任何事件。

[WinEventLog://Microsoft-Windows-DHCP Server Events/Operational]

和

[WinEventLog://Microsoft-Windows-DHCP-Server/Microsoft-Windows-DHCP Server Events/Operational]

这些配置导致以下错误：

来自“C：\ Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe"”splunk-winevtlog -WinEventMon：：配置:未能找到带有通道名称的事件日志“=‘/Operational’的消息 来自“”C：\ Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe"“splunk-winevtlog -WinEventMon：：name='Microsoft-Windows-DHCP-Server/Microsoft-Windows-DHCP服务器事件/操作的事件日志失败的消息

如果能在这方面提供任何帮助，我们将不胜感激。

谢谢。

Answer 1

获得正确的全名的最简单方法是右键单击日志页节点并选择“属性”，然后在“常规”选项卡上，您将看到一个全名字段。选择字段的全部内容，并将确切值粘贴到您的WinEventLog://Microsoft-Windows-DNS-Client/Operational名称(例如inputs.conf名称)中。

我没有一个DHCP服务器来复制确切的值，但我非常肯定它会类似于“/Operational”。