开启文件共享日志审计
1、在文件共享的目录上右键->安全->高级->审核
2、添加,主体选择Authenticacted Users或者Everyone,勾选如下权限,然后确定
3、打开事件查看器,定位到Windows日志->安全,可以看到已经有日志过来了,这里主要有用的事件id是4663和4659:
####安装nxlog采集日志
1、安装过程不多描述,装完之后改配置文件如下:
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
<Extension _syslog>
Module xm_syslog
</Extension>
<Input in>
# Vista (含)以後的作業系統請使用 im_msvistalog
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Security">*[System[(EventID=4663)or(EventID=4659)]]</Select></Query></QueryList>
# 2003 (含)以前的作業系統請使用 im_mseventlog
# Module im_mseventlog
</Input>
<Output out>
Module om_udp
#填syslog服务器信息
Host 10.168.0.99
Port 514
Exec to_syslog_snare();
</Output>
<Route 1>
Path in => out
</Route>
2、改完配置后重启一下服务即可
配置syslog服务器接收日志
1、同样,安装过程不多描述,直接说配置:
#下面4条必须打开
$ModLoad imuxsock
$ModLoad imjournal
$ModLoad imudp
$UDPServerRun 514
#添加一个模板,hostname是变量,可直接根据主机名分组
$template RemoteLogs,"/var/log/%HOSTNAME%/security.log" *
#调用模板
*.* ?RemoteLogs
& ~
2、配完之后重启rsyslog即可,下面是实际效果:
评论区