NXLog
NXLog是一种将文件转换为syslog的工具,当应用程序生成的日志输出不被InsightIDR接受时,该工具非常有用。
安装和配置NXLog
要在环境中开始使用NXLog:
- 下载最新版本的NXLog:http://nxlog.co/products/nxlog-community-edition/download
- 本地安装NXLog并将root设置为安装NXLog的文件夹,否则NXLog将无法启动。路径应该类似于:
C:\ Program Files(x86)\ nxlog \ conf \ nxlog.conf
- 安装后,停止NXLOG服务。
- 2 .打开NXLog配置文件,粘贴如下内容,并根据您的账号进行调整:
示例配置文件
1##这是一个示例配置文件。请参阅nxlog参考手册,了解2# #配置选项。它应该安装在本地,也可以使用3.##在线http://nxlog.org/docs/45##设置nxlog的ROOT文件夹6##否则它将不会启动。78#定义根C:\Program Files\nxlog9定义根C:\ Program Files(x86)\ nxlog1011Moduledir %根% \模块12CacheDir %根% \数据13Pidfile % % \ data \ nxlog.pid根源14SpoolDir%ROOT%\data15日志文件% % \ data \ nxlog.log根源1617<扩展_syslog >18模块xm_syslog1920.21<输入in>22模块im_msvistalog23ReadFromLast True24#对于Windows 2003和早期使用以下内容:25#模块im_mseventlog2627查询< QueryList > \28<查询ID =“0”路径=“安全性”> \2930.< /查询> \31< / QueryList >3233输入> < /343536模块om_tcp37主机收集器-主机名38端口收集器-端口39Exec to_syslog_snare ();40输出>4142<路线1>43路径输入=>输出44
有关其他配置选项,请参阅此处的NXLog参考手册:http://nxlog.org/docs/
- 重启NXLog服务。
现在可以使用新的NXLog配置。
收集Windows服务器日志
如果需要从环境中收集安全日志事件,但不想使用域管理员帐户,则可以配置NXLog为您收集事件。
使用以下配置文件之一来收集安全日志:
活动目录
您可以使用NXLog收集Active Directory的域控制器安全日志。
要使用NXLog收集安全日志,请执行以下操作:
- 在域控制器上安装NXLog。
- 创建一个
新的nxlog.conf
文件替换默认文件。这个文件的默认位置是C:\Program Files (x86)\nxlog\conf
. - 以收集并转发域控制器安全日志到InsightIDR Collector为例,配置文件如下:
文本
1# nxlog.conf示例文件可以用来读取Microsoft安全日志,并通过syslog发送到InsightIDR。2#send在syslog_snare格式中向InsightIdr的日志。3.4#定义根C:\Program Files\nxlog5定义根C:\ Program Files(x86)\ nxlog67Moduledir %根% \模块8CacheDir %根% \数据9Pidfile % % \ data \ nxlog.pid根源10SpoolDir%ROOT%\data11日志文件% % \ data \ nxlog.log根源1213<扩展_syslog >14模块xm_syslog151617<输入in_securitylog >18模块im_msvistalog19查询\ 20.<查询Id = " 0 " > \21<选择路径= "安全" > < /选择> \22query> \23< / QueryList >24< Exec >25$Message = replace($Message, "\t", " ");$Message = replace($Message, "\n", " ");$Message = replace($Message, "\r", " ");26$raw_event=$Message;27到_syslog_snare();28< / Exec >29输入> < /30.31<输出out_securitylog >32模块om_udp33#这是InsightIDR收集器的IP地址34主机192.168.0.4635#这是事件源上配置的端口36端口10341.37输出>3839<路线1>40路径in_securitylog = > out_securitylog41
微软DHCP.
您可以通过NXLog收集Microsoft DHCP的DHCP日志。
要使用nxlog收集Microsoft DHCP日志:
- 在DHCP服务器上安装NXLog
- 创建一个新的
nxlog.conf.
文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf
. - 要收集DHCP日志并将其转发到InsightIDR收集器,请使用以下配置文件作为示例:
文本
1# nxlog.conf示例文件可以用来读取Microsoft DHCP日志文件,并通过syslog发送到InsightIDR。2#将日志以syslog_bsd格式发送到InsightIDR。3.4#定义根C:\Program Files\nxlog5定义根C:\ Program Files(x86)\ nxlog67Moduledir %根% \模块8CacheDir %根% \数据9Pidfile % % \ data \ nxlog.pid根源10SpoolDir%ROOT%\data11日志文件% % \ data \ nxlog.log根源1213<扩展_syslog >14模块xm_syslog151617<输入IN_DHCP>18模块im_file19#修改以下位置为DHCP日志所在的位置。20.文件“C: \ \ Windows \ \ Sysnative \ \ dhcp \ \ DhcpSrvLog - * . log”21InputType LineBased22SavePos真实23< Exec >24如果$raw_event=~/^#/drop();25其他的26{27to_syslog_bsd ();28}29< / Exec >30.输入> < /313233#如果您希望使用TCP而不是UDP发送日志,请将下面的模块更改为OM_TCP。34模块om_udp35#这是InsightIDR收集器的IP地址36主机192.168.0.15637#这是事件源上配置的端口38端口1040039输出>4041<路线1>42路径in_dhcp = >43
微软DNS
您可以通过NXLog收集Microsoft DNS服务器的DNS日志。
使用NXLog收集DNS日志。
- 在DNS服务器上安装NXLog
- 创建一个新的
nxlog.conf.
文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf
. - 启用DNS文件翻转。看看域名服务器有关如何启用滚动的说明,请参见第页。
- 要收集DNS日志并将其转发到InsightIDR收集器,请使用以下配置文件作为示例:
文本
1#此示例nxlog.conf文件可用于读取Microsoft DNS日志文件,并使用加密的syslog将其发送到InsightIDR。2#send在syslog_bsd格式中的日志到InsightIdr。#定义根C:\ Program Files \ nxlog3.4定义根C:\ Program Files(x86)\ nxlog56Moduledir %根% \模块7CacheDir %根% \数据8Pidfile % % \ data \ nxlog.pid根源9SpoolDir%ROOT%\data10日志文件% % \ data \ nxlog.log根源1112<扩展_syslog >13模块xm_syslog141516<输入IN_DNS>17模块im_file18文件c: \ dnslogs \ dns * . log的19InputType LineBased20.SavePos真实21< Exec >22如果$raw_event=~/^#/drop();23其他的24{25to_syslog_bsd ();26}27< / Exec >28输入> < /2930.<输出out_dns >31模块om_udp32#这是InsightIDR收集器的IP地址33主机192.168.0.4634#这是事件源上配置的端口35端口10350.36输出>3738<路线1>39路径in\u dns=>out\u dns40
Microsoft Exchange消息跟踪日志
您可以通过NXLog收集Microsoft Exchange Message Tracking日志。
使用NXLog收集Microsoft Exchange Message Tracking日志:
- 在Exchange服务器上安装NXLog。
- 创建一个新的
nxlog.conf.
文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf
. - 以以下配置文件为例,收集并转发Message Tracking日志到InsightIDR采集器:
文本
1#此示例nxlog.conf文件可用于收集Exchange邮件跟踪日志并将其发送给InsightIDR。2#定义根C:\Program Files\nxlog3.定义根C:\ Program Files(x86)\ nxlog45Moduledir %根% \模块6CacheDir %根% \数据7Pidfile % % \ data \ nxlog.pid根源8SpoolDir%ROOT%\data9日志文件% % \ data \ nxlog.log根源10定义CertDir C:\Program Files (x86)\nxlog\cert1112定义nxlog要使用的模块。1314 15模块XM_JSON.161718<扩展_syslog >19模块xm_syslog20.2122<扩展MessageTrackingLog >23模块xm_csv24字段$date time、$client ip、$client hostname、$server ip、$server hostname、$source context、$connector id、$source、$event id、$internal message id、$message id、$network message id、$recipient address、$recipient status、$total bytes、$recipient count、$related recipient address、$reference、$message subject、,$directionality、$tenant id、$original client ip、$original server ip、$custom data、$transport traffic type、$log id、$schema version25#FieldTypes字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串,字符串26分隔符,27备态阈值282930.<输入in_MessageTrackingLog >31模块im_file32文件的c: \ logs \ * . log的日志文件33InputType LineBased34SavePos真实35PollInterval 136< Exec >37如果$raw_event=~/^#/drop();38其他的39{40MessageTrackingLog - > parse_csv ();41$ Eventime = ParseDate($ Date +“”+ $时间);42$ SourceName =“MessageTrackingLog”;43$ raw_event = to_json ();44}45< / Exec >46输入> < /4748<输出OUT_MESSSAGETRACKINGLOG>49模块om_udp50#这是InsightIDR收集器的IP地址51主机192.168.0.15652#this是通用事件源上配置的端口53端口1006054输出>5556<路线1>57路径in_MessageTrackingLog = > out_MesssageTrackingLog58
创建这个替换文件之后,配置一个自定义日志事件源。
Microsoft IIS
您可以使用NXLog收集Microsoft IIS日志。
使用NXLog收集IIS日志。
- 在IIS服务器上安装nxlog。
- 创建一个新的
nxlog.conf.
文件以替换默认文件。此文件的默认位置为C:\Program Files (x86)\nxlog\conf
. - 使用以下配置文件收集IIS日志并将其转发到InsightIDR收集器:
文本
1##这是一个示例配置文件。请参阅nxlog参考手册,了解2# #配置选项。它应该安装在本地,也可以使用3.##在线http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html4##设置nxlog的ROOT文件夹5##否则它将不会启动。6#定义根C:\Program Files\nxlog7定义根C:\ Program Files(x86)\ nxlog8Moduledir %根% \模块9CacheDir %根% \数据10Pidfile % % \ data \ nxlog.pid根源11SpoolDir%ROOT%\data12日志文件% % \ data \ nxlog.log根源13#在旋转日志或调试时包括fileop14# <扩展相>15#module xm_fileop.16#17 18模块XM_JSON.1920.#创建IIS日志解析规则。您可以从IIS日志文件的头文件中复制这些文件。21 22模块xm_csv23字段$ Date,$ Time,$ S_IP,$ CS_Method,$ CS_URI_SEM,$ CS_URI_QUERY,$ S_PORT,$ CS_USERNAME,#$ C_IP24FieldTypes string, string, string, string, string, string, integer, string, string, #string, integer, integer, integer25分隔符“”2627#将IIS日志转换为JSON,并使用原始事件时间28<输入IIS_Site1 >29模块im_file30.文件“C:\\inetpub\\logs\\LogFiles\\W3SVC1\\u\u ex*”31SavePos真实3233Exec if $raw_event =~ /^#/ drop(); / /删除事件\34否则\35{ \36w3c - > parse_csv ();\37$EventTime=parsedate($date++$time)\38$ SourceName =“IIS”;\39$ raw_event = to_json ();\40}41输入> < /42<输出IIS_Site1_out >43模块om_udp44主机 45端口 46#please请注意,如果在日志搜索中没有看到IIS日志,则需要取消下面的行。47# Generic Syslog事件源要求日志有一个Syslog报头,由RFC3164指定。这将在日志中添加所需的RFC3164 syslog头。48# Exec to_syslog_bsd ();49输出>50<路由IIS\u站点1>51路径IIS\U Site1=>IIS\U Site1\u out52
创建这个替换文件之后,配置一个通用的SyslogInsightIDR中的事件源,它将IIS日志解析为日志搜索的可搜索格式。
发送加密日志
如果您希望使用加密的syslog日志将日志传输到InsightIDR,可以使用om_ssl.
在输出模块中。例如:
文本
1#从InsightIDR下载证书并将其放置在下面指定的文件夹中。2<输出out_dns >3.模块om_ssl.4#这是InsightIDR收集器的IP地址5主持人10.10.10.106#这是事件源上配置的端口7端口10001.8#指定证书位置,默认位置是nxlog\cert。9CAFile % CertDir % \ Rapid7CA.pem10输出>
其他的例子
可以有多个“进”和“出”部分nxlog.conf.
文件。例如,如果要从单个服务器收集安全日志,DHCP日志和DNS日志,请使用以下内容nxlog.conf.
文件:
文本
1这个nxlog.conf文件可以用来从域控制器读取Windows安全日志、DHCP和DNS日志。2#定义根C:\Program Files\nxlog3.定义根C:\ Program Files(x86)\ nxlog45Moduledir %根% \模块6CacheDir %根% \数据7Pidfile % % \ data \ nxlog.pid根源8SpoolDir%ROOT%\data9日志文件% % \ data \ nxlog.log根源1011<扩展_syslog >12模块xm_syslog131415#收集安全日志。16<输入in_securitylog >17模块im_msvistalog18查询\ 19<查询Id = " 0 " > \20.<选择路径= "安全" > < /选择> \21query> \22< / QueryList >23< Exec >24$Message = replace($Message, "\t", " ");$Message = replace($Message, "\n", " ");$Message = replace($Message, "\r", " ");25$raw_event=$Message;26到_syslog_snare();27< / Exec >28输入> < /2930.#收集Microsoft DHCP日志。31<输入IN_DHCP>32模块im_file33#修改以下位置为DHCP日志所在的位置。34文件“C: \ \ Windows \ \ Sysnative \ \ dhcp \ \ DhcpSrvLog - * . log”35InputType LineBased36SavePos真实37< Exec >38如果$raw_event=~/^#/drop();39其他的40{41to_syslog_bsd ();42}43< / Exec >44输入> < /4546#收集Microsoft DNS日志。47<输入IN_DNS>48模块im_file49文件c: \ dnslogs \ dns * . log的50InputType LineBased51SavePos真实52< Exec >53如果$raw_event=~/^#/drop();54其他的55{56to_syslog_bsd ();57}58< / Exec >59输入> < /6061<输出out_securitylog >62模块om_udp63#这是InsightIDR收集器的IP地址64主机192.168.0.4665#这是事件源上配置的端口66端口10001.67# Exec to_json ();消息= raw_event美元;68输出>697071#如果您希望使用TCP而不是UDP发送日志,请将下面的模块更改为OM_TCP。72模块om_udp73#这是InsightIDR收集器的IP地址74主机192.168.0.4675#这是事件源上配置的端口76端口10101.77输出>7879<输出out_dns >80模块om_udp81#这是InsightIDR收集器的IP地址82主机192.168.0.4683#这是事件源上配置的端口84端口1020185输出>8687<路线1>88路径in_securitylog = > out_securitylog899091<路线2>92路径IN_DHCP => OUT_DHCP939495<路线3>96路径in_dns = > out_dns97
这个页面对你有帮助吗?