nxlog.conf Filtrage des problèmes de journaux d'événements Windows

Question

J'essaie de générer des journaux d'événements Windows spécifiques à l'aide de nxlog et de les afficher dans Graylog. Il récupère les logs très bien, cependant, mon problème est le suivant: Même avec une requête, il semble toujours tirer beaucoup de données qui ne sont pas spécifiées dans la requête (par exemple ici je spécifie Application avec des eventID spécifiques que j'ai été test en créant des journaux factices en cmd). Par exemple, je reçois toujours le système, la sécurité et divers autres journaux apparaissant dans Graylog.

Je suis très nouveau à ce sujet, donc il me manque probablement quelque chose de stupide. Voici un petit bout de mon .conf:

nxlog.conf

Answer 1

Vous devriez être en mesure de tester la requête XML dans l'Observateur d'événements. C'est exactement la même chose que vous pouvez copier-coller dans votre fichier nxlog.conf.

Si vous n'obtenez pas d'événements filtrés, c'est soit parce que vous n'avez pas redémarré NXLog, soit parce que d'anciens événements apparaissent dans Graylog.