NXLog
NXLog是一种将文件转换为syslog的工具,当应用程序生成的日志输出不被InsightIDR接受时,该工具非常有用。
安装和配置NXLog
要在环境中开始使用NXLog:
- 下载最新版本的NXLog:http://nxlog.co/products/nxlog-community-edition/download
- 本地安装NXLog并将root设置为安装NXLog的文件夹,否则NXLog将无法启动。路径应该类似于:
C:\ Program Files(x86)\ nxlog \ conf \ nxlog.conf - 安装后,停止NXLOG服务。
- 2 .打开NXLog配置文件,粘贴如下内容,并根据您的账号进行调整:
示例配置文件
1
##这是一个示例配置文件。请参阅nxlog参考手册,了解
2
# #配置选项。它应该安装在本地,也可以使用
3.
##在线http://nxlog.org/docs/
4
5
##设置nxlog的ROOT文件夹
6
##否则它将不会启动。
7
8
#定义根C:\Program Files\nxlog
9
定义根C:\ Program Files(x86)\ nxlog
10
11
Moduledir %根% \模块
12
CacheDir %根% \数据
13
Pidfile % % \ data \ nxlog.pid根源
14
SpoolDir%ROOT%\data
15
日志文件% % \ data \ nxlog.log根源
16
17
<扩展_syslog >
18
模块xm_syslog
19
20.
21
<输入in>
22
模块im_msvistalog
23
ReadFromLast True
24
#对于Windows 2003和早期使用以下内容:
25
#模块im_mseventlog
26
27
查询< QueryList > \
28
<查询ID =“0”路径=“安全性”> \
29
30.
< /查询> \
31
< / QueryList >
32
33
输入> < /
34
35
36
模块om_tcp
37
主机收集器-主机名
38
端口收集器-端口
39
Exec to_syslog_snare ();
40
41
42
<路线1>
43
路径输入=>输出
44
有关其他配置选项,请参阅此处的NXLog参考手册:http://nxlog.org/docs/
- 重启NXLog服务。
现在可以使用新的NXLog配置。
收集Windows服务器日志
如果需要从环境中收集安全日志事件,但不想使用域管理员帐户,则可以配置NXLog为您收集事件。
使用以下配置文件之一来收集安全日志:
活动目录
您可以使用NXLog收集Active Directory的域控制器安全日志。
要使用NXLog收集安全日志,请执行以下操作:
- 在域控制器上安装NXLog。
- 创建一个
新的nxlog.conf文件替换默认文件。这个文件的默认位置是C:\Program Files (x86)\nxlog\conf. - 以收集并转发域控制器安全日志到InsightIDR Collector为例,配置文件如下:
文本
1
# nxlog.conf示例文件可以用来读取Microsoft安全日志,并通过syslog发送到InsightIDR。
2
#send在syslog_snare格式中向InsightIdr的日志。
3.
4
#定义根C:\Program Files\nxlog
5
定义根C:\ Program Files(x86)\ nxlog
6
7
Moduledir %根% \模块
8
CacheDir %根% \数据
9
Pidfile % % \ data \ nxlog.pid根源
10
SpoolDir%ROOT%\data
11
日志文件% % \ data \ nxlog.log根源
12
13
<扩展_syslog >
14
模块xm_syslog
15
16
17
<输入in_securitylog >
18
模块im_msvistalog
19
查询 \
20.
<查询Id = " 0 " > \
21
<选择路径= "安全" > < /选择> \
22
\
23
< / QueryList >
24
< Exec >
25
$Message = replace($Message, "\t", " ");$Message = replace($Message, "\n", " ");$Message = replace($Message, "\r", " ");
26
$raw_event=$Message;
27
到_syslog_snare();
28
< / Exec >
29
输入> < /
30.
31
<输出out_securitylog >
32
模块om_udp
33
#这是InsightIDR收集器的IP地址
34
主机192.168.0.46
35
#这是事件源上配置的端口
36
端口10341.
37
38
39
<路线1>
40
路径in_securitylog = > out_securitylog
41
微软DHCP.
您可以通过NXLog收集Microsoft DHCP的DHCP日志。
要使用nxlog收集Microsoft DHCP日志:
- 在DHCP服务器上安装NXLog
- 创建一个新的
nxlog.conf.文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf. - 要收集DHCP日志并将其转发到InsightIDR收集器,请使用以下配置文件作为示例:
文本
1
# nxlog.conf示例文件可以用来读取Microsoft DHCP日志文件,并通过syslog发送到InsightIDR。
2
#将日志以syslog_bsd格式发送到InsightIDR。
3.
4
#定义根C:\Program Files\nxlog
5
定义根C:\ Program Files(x86)\ nxlog
6
7
Moduledir %根% \模块
8
CacheDir %根% \数据
9
Pidfile % % \ data \ nxlog.pid根源
10
SpoolDir%ROOT%\data
11
日志文件% % \ data \ nxlog.log根源
12
13
<扩展_syslog >
14
模块xm_syslog
15
16
17
<输入IN_DHCP>
18
模块im_file
19
#修改以下位置为DHCP日志所在的位置。
20.
文件“C: \ \ Windows \ \ Sysnative \ \ dhcp \ \ DhcpSrvLog - * . log”
21
InputType LineBased
22
SavePos真实
23
< Exec >
24
如果$raw_event=~/^#/drop();
25
其他的
26
{
27
to_syslog_bsd ();
28
}
29
< / Exec >
30.
输入> < /
31
32
33
#如果您希望使用TCP而不是UDP发送日志,请将下面的模块更改为OM_TCP。
34
模块om_udp
35
#这是InsightIDR收集器的IP地址
36
主机192.168.0.156
37
#这是事件源上配置的端口
38
端口10400
39
40
41
<路线1>
42
路径in_dhcp = >
43
微软DNS
您可以通过NXLog收集Microsoft DNS服务器的DNS日志。
使用NXLog收集DNS日志。
- 在DNS服务器上安装NXLog
- 创建一个新的
nxlog.conf.文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf. - 启用DNS文件翻转。看看域名服务器有关如何启用滚动的说明,请参见第页。
- 要收集DNS日志并将其转发到InsightIDR收集器,请使用以下配置文件作为示例:
文本
1
#此示例nxlog.conf文件可用于读取Microsoft DNS日志文件,并使用加密的syslog将其发送到InsightIDR。
2
#send在syslog_bsd格式中的日志到InsightIdr。#定义根C:\ Program Files \ nxlog
3.
4
定义根C:\ Program Files(x86)\ nxlog
5
6
Moduledir %根% \模块
7
CacheDir %根% \数据
8
Pidfile % % \ data \ nxlog.pid根源
9
SpoolDir%ROOT%\data
10
日志文件% % \ data \ nxlog.log根源
11
12
<扩展_syslog >
13
模块xm_syslog
14
15
16
<输入IN_DNS>
17
模块im_file
18
文件c: \ dnslogs \ dns * . log的
19
InputType LineBased
20.
SavePos真实
21
< Exec >
22
如果$raw_event=~/^#/drop();
23
其他的
24
{
25
to_syslog_bsd ();
26
}
27
< / Exec >
28
输入> < /
29
30.
<输出out_dns >
31
模块om_udp
32
#这是InsightIDR收集器的IP地址
33
主机192.168.0.46
34
#这是事件源上配置的端口
35
端口10350.
36
37
38
<路线1>
39
路径in\u dns=>out\u dns
40
Microsoft Exchange消息跟踪日志
您可以通过NXLog收集Microsoft Exchange Message Tracking日志。
使用NXLog收集Microsoft Exchange Message Tracking日志:
- 在Exchange服务器上安装NXLog。
- 创建一个新的
nxlog.conf.文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf. - 以以下配置文件为例,收集并转发Message Tracking日志到InsightIDR采集器:
文本
1
#此示例nxlog.conf文件可用于收集Exchange邮件跟踪日志并将其发送给InsightIDR。
2
#定义根C:\Program Files\nxlog
3.
定义根C:\ Program Files(x86)\ nxlog
4
5
Moduledir %根% \模块
6
CacheDir %根% \数据
7
Pidfile % % \ data \ nxlog.pid根源
8
SpoolDir%ROOT%\data
9
日志文件% % \ data \ nxlog.log根源
10
定义CertDir C:\Program Files (x86)\nxlog\cert
11
12
定义nxlog要使用的模块。
13
14
创建这个替换文件之后,配置一个自定义日志事件源。
Microsoft IIS
您可以使用NXLog收集Microsoft IIS日志。
使用NXLog收集IIS日志。
- 在IIS服务器上安装nxlog。
- 创建一个新的
nxlog.conf.文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf. - 使用以下配置文件收集IIS日志并将其转发到InsightIDR收集器:
文本
1
##这是一个示例配置文件。请参阅nxlog参考手册,了解
2
# #配置选项。它应该安装在本地,也可以使用
3.
##在线http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html
4
##设置nxlog的ROOT文件夹
5
##否则它将不会启动。
6
#定义根C:\Program Files\nxlog
7
定义根C:\ Program Files(x86)\ nxlog
8
Moduledir %根% \模块
9
CacheDir %根% \数据
10
Pidfile % % \ data \ nxlog.pid根源
11
SpoolDir%ROOT%\data
12
日志文件% % \ data \ nxlog.log根源
13
#在旋转日志或调试时包括fileop
14
# <扩展相>
15
#module xm_fileop.
16
#
17
创建这个替换文件之后,配置一个通用的SyslogInsightIDR中的事件源,它将IIS日志解析为日志搜索的可搜索格式。
发送加密日志
如果您希望使用加密的syslog日志将日志传输到InsightIDR,可以使用om_ssl.在输出模块中。例如:
文本
1
#从InsightIDR下载证书并将其放置在下面指定的文件夹中。
2
<输出out_dns >
3.
模块om_ssl.
4
#这是InsightIDR收集器的IP地址
5
主持人10.10.10.10
6
#这是事件源上配置的端口
7
端口10001.
8
#指定证书位置,默认位置是nxlog\cert。
9
CAFile % CertDir % \ Rapid7CA.pem
10
其他的例子
可以有多个“进”和“出”部分nxlog.conf.文件。例如,如果要从单个服务器收集安全日志,DHCP日志和DNS日志,请使用以下内容nxlog.conf.文件:
文本
1
这个nxlog.conf文件可以用来从域控制器读取Windows安全日志、DHCP和DNS日志。
2
#定义根C:\Program Files\nxlog
3.
定义根C:\ Program Files(x86)\ nxlog
4
5
Moduledir %根% \模块
6
CacheDir %根% \数据
7
Pidfile % % \ data \ nxlog.pid根源
8
SpoolDir%ROOT%\data
9
日志文件% % \ data \ nxlog.log根源
10
11
<扩展_syslog >
12
模块xm_syslog
13
14
15
#收集安全日志。
16
<输入in_securitylog >
17
模块im_msvistalog
18
查询 \
19
<查询Id = " 0 " > \
20.
<选择路径= "安全" > < /选择> \
21
\
22
< / QueryList >
23
< Exec >
24
$Message = replace($Message, "\t", " ");$Message = replace($Message, "\n", " ");$Message = replace($Message, "\r", " ");
25
$raw_event=$Message;
26
到_syslog_snare();
27
< / Exec >
28
输入> < /
29
30.
#收集Microsoft DHCP日志。
31
<输入IN_DHCP>
32
模块im_file
33
#修改以下位置为DHCP日志所在的位置。
34
文件“C: \ \ Windows \ \ Sysnative \ \ dhcp \ \ DhcpSrvLog - * . log”
35
InputType LineBased
36
SavePos真实
37
< Exec >
38
如果$raw_event=~/^#/drop();
39
其他的
40
{
41
to_syslog_bsd ();
42
}
43
< / Exec >
44
输入> < /
45
46
#收集Microsoft DNS日志。
47
<输入IN_DNS>
48
模块im_file
49
文件c: \ dnslogs \ dns * . log的
50
InputType LineBased
51
SavePos真实
52
< Exec >
53
如果$raw_event=~/^#/drop();
54
其他的
55
{
56
to_syslog_bsd ();
57
}
58
< / Exec >
59
输入> < /
60
61
<输出out_securitylog >
62
模块om_udp
63
#这是InsightIDR收集器的IP地址
64
主机192.168.0.46
65
#这是事件源上配置的端口
66
端口10001.
67
# Exec to_json ();消息= raw_event美元;
68
69
70
71
#如果您希望使用TCP而不是UDP发送日志,请将下面的模块更改为OM_TCP。
72
模块om_udp
73
#这是InsightIDR收集器的IP地址
74
主机192.168.0.46
75
#这是事件源上配置的端口
76
端口10101.
77
78
79
<输出out_dns >
80
模块om_udp
81
#这是InsightIDR收集器的IP地址
82
主机192.168.0.46
83
#这是事件源上配置的端口
84
端口10201
85
86
87
<路线1>
88
路径in_securitylog = > out_securitylog
89
90
91
<路线2>
92
路径IN_DHCP => OUT_DHCP
93
94
95
<路线3>
96
路径in_dns = > out_dns
97
这个页面对你有帮助吗?