nxlog 查询列表没有按预期工作
nxlog querylist doesn't work as expected
以上link复制到我的nxlog.conf。我找不到任何关于如何在查询列表块中使用多个块的文档,但根据名称我假设我能够做到这一点。我的 ELK 服务器现在正在接收所有事件,而不是任何过滤的事件。我只想使用一个查询块,但它被限制为 10 select 个条目。我找不到任何使用超过 3 select 个条目的示例。有没有人有更多预付 nxlog.conf 的运气?任何帮助将不胜感激。
不确定查询 xml 的问题是什么。如果 select 条目的数量有限制,那是来自 Windows 事件日志 API,所以这无济于事。
另一方面,您可以使用 nxlog 的原生过滤 drop():
Query <QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
</Query>\
</QueryList>
Exec if not ($EventID == 1 or $EventID == 2 or ...) drop();
实际上 XML 没有问题。当我在没有查询的情况下测试 nxlog.conf 时,我正在查看数据库中的旧结果。我的错!
以上link复制到我的nxlog.conf。我找不到任何关于如何在查询列表块中使用多个块的文档,但根据名称我假设我能够做到这一点。我的 ELK 服务器现在正在接收所有事件,而不是任何过滤的事件。我只想使用一个查询块,但它被限制为 10 select 个条目。我找不到任何使用超过 3 select 个条目的示例。有没有人有更多预付 nxlog.conf 的运气?任何帮助将不胜感激。
不确定查询 xml 的问题是什么。如果 select 条目的数量有限制,那是来自 Windows 事件日志 API,所以这无济于事。
另一方面,您可以使用 nxlog 的原生过滤 drop():
Query <QueryList>\
<Query Id="0">\
<Select Path="Security">*</Select>\
</Query>\
</QueryList>
Exec if not ($EventID == 1 or $EventID == 2 or ...) drop();
实际上 XML 没有问题。当我在没有查询的情况下测试 nxlog.conf 时,我正在查看数据库中的旧结果。我的错!