6
responses

Hi Guys,

I have a problem, I must to send the Event log a the LogCollecotr Linux, the problem is when Logcollector riceved the log, the formatting is much long, I want riceved an log so.

Example Log LInux:
" Jun 19 16:23:01 MSI su: pam_unix(su:session): session opened for user ema by (uid=0) "

I can receive the log in this format??

Thank you.

AskedJune 19, 2020 - 4:25pm

Answer (1)

I think you need this line at the end of your input msvistalog module.

Exec to_syslog_bsd();

Comments (5)

  • Emanuele's picture

    Panic Soft
    #NoFreeOnExit TRUE

    define ROOT C:\Program Files (x86)\nxlog
    define CERTDIR %ROOT%\cert
    define CONFDIR %ROOT%\conf
    define LOGDIR %ROOT%\data
    define LOGFILE %LOGDIR%\nxlog.log
    LogFile %LOGFILE%

    Moduledir %ROOT%\modules
    CacheDir %ROOT%\data
    Pidfile %ROOT%\data\nxlog.pid
    SpoolDir %ROOT%\data

    <Extension _syslog>

    Module xm_syslog

    </Extension>

    <Extension fileop>
    Module xm_fileop
    </Extension>

    <input eventlog>
    Module im_msvistalog
    # For windows 2003 and earlier use the following:
    # Module im_mseventlog
    Exec file_write("C:\\Program Files (x86)\\nxlog\\data\\nxlog_output.log", $raw_event);

    Exec if ($EventID == 4624) drop();\
    else\
    {\
    parse_syslog_ietf();\
    $Message = $FileName + ": " + $Message;\
    $SyslogFacility = syslog_facility_string(22);\
    $SyslogFacilityValue = syslog_facility_value("local6");\
    if ( $EventType == "INFO" ) $SyslogSeverityValue = 6;\
    if ( $EventType == "WARNING" ) $SyslogSeverityValue = 4;\
    if ( $EventType == "ERROR" ) $SyslogSeverityValue = 3;\

    }

    </Input>

    <Output out>
    Module om_udp
    Host xx.xxx.xxx
    Port 514
    Exec to_syslog_bsd();
    </Output>

    <Route 1>
    Path eventlog => out
    </Route>

  • Arkadiy's picture
    (NXLog)

    Hello,

    There was some shenanigans in your syntax near if-else statement. Take a look at fixed one.
    Also please drop us some of examples how this config performing, some log entries:

    Panic Soft
    #NoFreeOnExit TRUE
    
    define ROOT C:\Program Files (x86)\nxlog
    define CERTDIR %ROOT%\cert
    define CONFDIR %ROOT%\conf
    define LOGDIR %ROOT%\data
    define LOGFILE %LOGDIR%\nxlog.log
    LogFile %LOGFILE%
    
    Moduledir %ROOT%\modules
    CacheDir %ROOT%\data
    Pidfile %ROOT%\data\nxlog.pid
    SpoolDir %ROOT%\data
    
    <Extension _syslog>
        Module xm_syslog
    </Extension>
    
    <Extension fileop>
        Module xm_fileop
    </Extension>
    
    <input eventlog>
        Module im_msvistalog
        # For windows 2003 and earlier use the following:
        # Module im_mseventlog
        <Exec>
            file_write("C:\\Program Files (x86)\\nxlog\\data\\nxlog_output.log", $raw_event);
            if ($EventID == 4624) {
                drop(); 
            } else {
                parse_syslog_ietf();
                $Message = $FileName + ": " + $Message;
                $SyslogFacility = syslog_facility_string(22);
                $SyslogFacilityValue = syslog_facility_value("local6");
                if ( $EventType == "INFO" ) $SyslogSeverityValue = 6;
                if ( $EventType == "WARNING" ) $SyslogSeverityValue = 4;
                if ( $EventType == "ERROR" ) $SyslogSeverityValue = 3;
            }
        </Exec>
    </Input>
    
    <Output out>
        Module om_udp
        Host xx.xxx.xxx
        Port 514
        Exec to_syslog_bsd();
    </Output>
    
    <Route 1>
        Path eventlog => out
    </Route>
    

  • Emanuele's picture

    This configuration send Event Logs (only event login) has Log collector Linux.

    Panic Soft
    #NoFreeOnExit TRUE

    define ROOT C:\Program Files (x86)\nxlog
    define CERTDIR %ROOT%\cert
    define CONFDIR %ROOT%\conf
    define LOGDIR %ROOT%\data
    define LOGFILE %LOGDIR%\nxlog.log
    LogFile %LOGFILE%

    Moduledir %ROOT%\modules
    CacheDir %ROOT%\data
    Pidfile %ROOT%\data\nxlog.pid
    SpoolDir %ROOT%\data

    <Extension _syslog>
    Module xm_syslog
    </Extension>

    <Extension fileop>
    Module xm_fileop
    </Extension>

    <input eventlog>
    Module im_msvistalog
    # For windows 2003 and earlier use the following:
    # Module im_mseventlog
    <Exec>
    file_write("C:\\Program Files (x86)\\nxlog\\data\\nxlog_output.log", $raw_event);
    if ($EventID == 4624) {
    drop();
    } else {
    parse_syslog_ietf();
    $Message = $FileName + ": " + $Message;
    $SyslogFacility = syslog_facility_string(22);
    $SyslogFacilityValue = syslog_facility_value("local6");
    if ( $EventType == "INFO" ) $SyslogSeverityValue = 6;
    if ( $EventType == "WARNING" ) $SyslogSeverityValue = 4;
    if ( $EventType == "ERROR" ) $SyslogSeverityValue = 3;
    }
    </Exec>
    </Input>

    <Output out>
    Module om_udp
    Host xx.xxx.xxx
    Port 514
    Exec to_syslog_bsd();
    </Output>

    <Route 1>
    Path eventlog => out
    </Route>

    this is that who I received:

    Jun 19 15:53:38 WIN-6AM0I30C3BK.test.local Microsoft-Windows-Security-Auditing[480]: : AUDIT_SUCCESS 4624 Accesso di un account riuscito. Soggetto: #011ID sicurezza:#011#011S-1-0-0 #011Nome account:#011#011- #011Dominio account:#011#011- #011ID accesso:#011#0110x0 Tipo di accesso:#011#011#0113 Livello rappresentazione:#011#011Rappresentazione Nuovo accesso: #011ID sicurezza:#011#011S-1-5-18 #011Nome account:#011#011WIN-6AM0I30C3BK$ #011Dominio account:#011#011TEST #011ID accesso:#011#0110xA3D13 #011GUID accesso:#011#011{3D762F0D-FFA5-F30D-DB8D-944D4C1B6A52} Informazioni sul processo: #011ID processo:#011#0110x0 #011Nome processo:#011#011- Informazioni di rete: #011Nome workstation:#011 #011Indirizzo rete di origine:#011fe80::bc9c:df24:4f8:e54a #011Porta di origine:#011#01161267 Informazioni di autenticazione dettagliate: #011Processo di accesso:#011#011Kerberos #011Pacchetto di autenticazione:#011Kerberos #011Servizi transitati:#011- #011Nome pacchetto (solo NTLM):#011- #011Lunghezza chiave:#011#0110 Questo evento viene generato quando viene creata una sessione di accesso. Viene generato nel computer in cui è stato effettuato l'accesso. Il campo Soggetto indica l'account nel sistema locale che ha richiesto l'accesso. Generalmente si tratta di un servizio, quale il servizio Server, o di un processo locale, ad esempio Winlogon.exe o Services.exe. Il campo Tipo di accesso indica il tipo di accesso che è stato effettuato. I tipi più comuni sono 2 (interattivo) e 3 (rete). Il campo Nuovo accesso indica l'account per il quale è stato creato il nuovo accesso, vale a dire l'account che ha effettuato l'accesso. Il campo Informazioni di rete indica l'origine della richiesta di accesso remota. Il nome della workstation non è sempre disponibile e può essere vuoto in alcuni casi. Il campo del livello di rappresentazione indica la portata della rappresentazione consentita a un processo nella sessione di accesso. Il campo Informazioni di autenticazione fornisce informazioni dettagliate sulla specifica richiesta di accesso. #011- GUID accesso è un identificatore univoco che può essere utilizzato per correlare questo evento a un evento KDC. #011- Servizi transitati indica quali servizi intermedi hanno partecipato alla richiesta di accesso. #011- Nome pacchetto indica quale sottoprotocollo dei protocolli NTLM è stato utilizzato. #011- Lunghezza chiave indica la lunghezza della chiave di sessione generata. Se non è stata richiesta alcuna chiave di sessione, la lunghezza sarà pari a zero.