Windows Event Logs

This configuration send Event Logs (only event login) has Log collector Linux.

Panic Soft
#NoFreeOnExit TRUE

define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE %LOGDIR%\nxlog.log
LogFile %LOGFILE%

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data

<Extension _syslog>
Module xm_syslog
</Extension>

<Extension fileop>
Module xm_fileop
</Extension>

<input eventlog>
Module im_msvistalog
# For windows 2003 and earlier use the following:
# Module im_mseventlog
<Exec>
file_write("C:\\Program Files (x86)\\nxlog\\data\\nxlog_output.log", $raw_event);
if ($EventID == 4624) {
drop();
} else {
parse_syslog_ietf();
$Message = $FileName + ": " + $Message;
$SyslogFacility = syslog_facility_string(22);
$SyslogFacilityValue = syslog_facility_value("local6");
if ( $EventType == "INFO" ) $SyslogSeverityValue = 6;
if ( $EventType == "WARNING" ) $SyslogSeverityValue = 4;
if ( $EventType == "ERROR" ) $SyslogSeverityValue = 3;
}
</Exec>
</Input>

<Output out>
Module om_udp
Host xx.xxx.xxx
Port 514
Exec to_syslog_bsd();
</Output>

<Route 1>
Path eventlog => out
</Route>

this is that who I received:

Jun 19 15:53:38 WIN-6AM0I30C3BK.test.local Microsoft-Windows-Security-Auditing[480]: : AUDIT_SUCCESS 4624 Accesso di un account riuscito. Soggetto: #011ID sicurezza:#011#011S-1-0-0 #011Nome account:#011#011- #011Dominio account:#011#011- #011ID accesso:#011#0110x0 Tipo di accesso:#011#011#0113 Livello rappresentazione:#011#011Rappresentazione Nuovo accesso: #011ID sicurezza:#011#011S-1-5-18 #011Nome account:#011#011WIN-6AM0I30C3BK$ #011Dominio account:#011#011TEST #011ID accesso:#011#0110xA3D13 #011GUID accesso:#011#011{3D762F0D-FFA5-F30D-DB8D-944D4C1B6A52} Informazioni sul processo: #011ID processo:#011#0110x0 #011Nome processo:#011#011- Informazioni di rete: #011Nome workstation:#011 #011Indirizzo rete di origine:#011fe80::bc9c:df24:4f8:e54a #011Porta di origine:#011#01161267 Informazioni di autenticazione dettagliate: #011Processo di accesso:#011#011Kerberos #011Pacchetto di autenticazione:#011Kerberos #011Servizi transitati:#011- #011Nome pacchetto (solo NTLM):#011- #011Lunghezza chiave:#011#0110 Questo evento viene generato quando viene creata una sessione di accesso. Viene generato nel computer in cui è stato effettuato l'accesso. Il campo Soggetto indica l'account nel sistema locale che ha richiesto l'accesso. Generalmente si tratta di un servizio, quale il servizio Server, o di un processo locale, ad esempio Winlogon.exe o Services.exe. Il campo Tipo di accesso indica il tipo di accesso che è stato effettuato. I tipi più comuni sono 2 (interattivo) e 3 (rete). Il campo Nuovo accesso indica l'account per il quale è stato creato il nuovo accesso, vale a dire l'account che ha effettuato l'accesso. Il campo Informazioni di rete indica l'origine della richiesta di accesso remota. Il nome della workstation non è sempre disponibile e può essere vuoto in alcuni casi. Il campo del livello di rappresentazione indica la portata della rappresentazione consentita a un processo nella sessione di accesso. Il campo Informazioni di autenticazione fornisce informazioni dettagliate sulla specifica richiesta di accesso. #011- GUID accesso è un identificatore univoco che può essere utilizzato per correlare questo evento a un evento KDC. #011- Servizi transitati indica quali servizi intermedi hanno partecipato alla richiesta di accesso. #011- Nome pacchetto indica quale sottoprotocollo dei protocolli NTLM è stato utilizzato. #011- Lunghezza chiave indica la lunghezza della chiave di sessione generata. Se non è stata richiesta alcuna chiave di sessione, la lunghezza sarà pari a zero.