一、Windows 審計日志 + IIS 日志聯(lián)合采集配置示例（nxlog.conf）

define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

# 采集 Windows 安全審計日志
<Input win_security>
    Module im_msvistalog
    Query <QueryList>
        <Query Id="0">
            <Select Path="Security">*</Select>
        </Query>
    </QueryList>
</Input>

# 采集 IIS 網(wǎng)站訪問日志
<Input iis_log>
    Module im_file
    File "C:\inetpub\logs\LogFiles\W3SVC*\*.log"
    SavePos TRUE
    ReadFromLast TRUE
</Input>

# 日志輸出到集中審計服務(wù)器
<Output log_center>
    Module om_udp
    Host 192.168.1.100
    Port 514
</Output>

# 路由定義
<Route win_route>
    Path win_security => log_center
</Route>

<Route iis_route>
    Path iis_log => log_center
</Route>

二、技術(shù)說明

本配置通過 NXLog 同時采集 Windows 操作系統(tǒng)安全審計日志與 IIS 網(wǎng)站訪問日志，實現(xiàn)主機(jī)級與應(yīng)用級日志的統(tǒng)一審計。

Windows 審計日志通過 im_msvistalog 模塊讀取 Security 事件日志，可用于記錄用戶登錄、登錄失敗、權(quán)限提升、賬號變更等關(guān)鍵安全行為。
IIS 訪問日志通過 im_file 模塊采集默認(rèn) W3C 日志文件，用于審計網(wǎng)站訪問來源、請求內(nèi)容及異常訪問行為。

所有日志統(tǒng)一發(fā)送至集中日志服務(wù)器進(jìn)行存儲與分析，可用于安全事件追溯、入侵分析及滿足等保、審計檢查等合規(guī)要求。