目錄
目錄X
Nxlog基本配置
一、Windows 審計日志 + IIS 日志聯(lián)合采集配置示例(nxlog.conf)
define ROOT C:\Program Files (x86)\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log # 采集 Windows 安全審計日志 <Input win_security> Module im_msvistalog Query <QueryList> <Query Id="0"> <Select Path="Security">*</Select> </Query> </QueryList> </Input> # 采集 IIS 網(wǎng)站訪問日志 <Input iis_log> Module im_file File "C:\inetpub\logs\LogFiles\W3SVC*\*.log" SavePos TRUE ReadFromLast TRUE </Input> # 日志輸出到集中審計服務(wù)器 <Output log_center> Module om_udp Host 192.168.1.100 Port 514 </Output> # 路由定義 <Route win_route> Path win_security => log_center </Route> <Route iis_route> Path iis_log => log_center </Route>
二、技術(shù)說明
本配置通過 NXLog 同時采集 Windows 操作系統(tǒng)安全審計日志與 IIS 網(wǎng)站訪問日志,實現(xiàn)主機(jī)級與應(yīng)用級日志的統(tǒng)一審計。
Windows 審計日志通過 im_msvistalog 模塊讀取 Security 事件日志,可用于記錄用戶登錄、登錄失敗、權(quán)限提升、賬號變更等關(guān)鍵安全行為。
IIS 訪問日志通過 im_file 模塊采集默認(rèn) W3C 日志文件,用于審計網(wǎng)站訪問來源、請求內(nèi)容及異常訪問行為。
所有日志統(tǒng)一發(fā)送至集中日志服務(wù)器進(jìn)行存儲與分析,可用于安全事件追溯、入侵分析及滿足等保、審計檢查等合規(guī)要求。