在用nxlog傳日志時遇到的問題,某些日志一條被分成近50行資料
比如:
2017-01-12 15:00:16 WIN-72PXDWR1DV4 AUDIT_SUCCESS 4624 已成功登錄帳戶。
主題:
安全 ID: S-1-5-18
帳戶名: WIN-72PXDWR1DV4$
帳戶域: WORKGROUP
登錄 ID: 0x3e7
登錄型別: 5
新登錄:
安全 ID: S-1-5-18
帳戶名: SYSTEM
帳戶域: NT AUTHORITY
登錄 ID: 0x3e7
登錄 GUID: {00000000-0000-0000-0000-000000000000}
行程資訊:
行程 ID: 0x254
行程名: C:\Windows\System32\services.exe
網路資訊:
作業站名:
源網路地址: -
源埠: -
詳細身份驗證資訊:
登錄行程: Advapi
身份驗證資料包: Negotiate
傳遞服務: -
資料包名(僅限 NTLM): -
密鑰長度: 0
在創建登錄會話后在被訪問的計算機上生成此事件。
“主題”欄位指明本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地行程(例如 Winlogon.exe 或 Services.exe)。
“登錄型別”欄位指明發生的登錄種類。最常見的型別是 2 (互動式)和 3 (網路)。
“新登錄”欄位會指明新登錄是為哪個帳戶創建的,即登錄的帳戶。
“網路”欄位指明遠程登錄請求來自哪里。“作業站名”并非總是可用,而且在某些情況下可能會留為空白。
“身份驗證資訊”欄位提供關于此特定登錄請求的詳細資訊。
-“登錄 GUID”是可以用于將此事件與一個 KDC 事件關聯起來的唯一識別符號。
-“傳遞服務”指明哪些直接服務參與了此登錄請求。
- “資料包名”指明在 NTLM 協議之間使用了哪些子協議。
-“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰則此欄位為 0。
如何設定能變成單行輸出,
形如:
<14>Jan 5 14:28:43 user-PC MSWinEventLog 1 Security 214 Thu Jan 05 14:28:43 2017 4624 Microsoft-Windows-Security-Auditing N/A N/A Success Audit user-PC 登錄 已成功登錄帳戶。 主題: 安全 ID: S-1-0-0 帳戶名: - 帳戶域: - 登錄 ID: 0x0 登錄型別: 3 新登錄: 安全 ID: S-1-5-21-2050136383-2252517615-443610419-1043 帳戶名: aaa 帳戶域: user-PC 登錄 ID: 0x1755fca 登錄 GUID: {00000000-0000-0000-0000-000000000000} 行程資訊: 行程 ID: 0x0 行程名: - 網路資訊: 作業站名: DESKTOP-3OKFJ12 源網路地址: - 源埠: - 詳細身份驗證資訊: 登錄行程: NtLmSsp 身份驗證資料包: NTLM 傳遞服務: - 資料包名(僅限 NTLM): NTLM V2 密鑰長度: 128 在創建登錄會話后在被訪問的計算機上生成此事件。 “主題”欄位指明本地系統上請求登錄的帳戶。這通常是一個服務(例如 Server 服務)或本地行程(例如 Winlogon.exe 或 Services.exe)。 “登錄型別”欄位指明發生的登錄種類。最常見的型別是 2 (互動式)和 3 (網路)。 “新登錄”欄位會指明新登錄是為哪個帳戶創建的,即登錄的帳戶。 “網路”欄位指明遠程登錄請求來自哪里。“作業站名”并非總是可用,而且在某些情況下可能會留為空白。 “身份驗證資訊”欄位提供關于此特定登錄請求的詳細資訊。 -“登錄 GUID”是可以用于將此事件與一個 KDC 事件關聯起來的唯一識別符號。 -“傳遞服務”指明哪些直接服務參與了此登錄請求。 - “資料包名”指明在 NTLM 協議之間使用了哪些子協議。 -“密鑰長度”指明生成的會話密鑰的長度。如果沒有請求會話密鑰則此欄位為 0。 631
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/121998.html