我们希望将 Microsoft Windows DHCP 服务器操作事件日志收集到 Splunk 中,但似乎遇到了一些麻烦。
Windows 事件查看器导航树中我们感兴趣的日志的路径是
> Applications and Services Logs
> Microsoft
> Windows
> DHCP-Server
- Microsoft-Windows-DHCP Server Events/Operational
我们认为问题出在我们的输入配置上,我们在inputs.conf中尝试了许多不同的配置,这些配置似乎适合此应用程序,包括以下内容,但我们尚未收到任何事件。
[WinEventLog://Microsoft-Windows-DHCP Server Events/Operational]
和
[WinEventLog://Microsoft-Windows-DHCP-Server/Microsoft-Windows-DHCP Server Events/Operational]
这些配置导致了以下错误:
来自“”C:\Program Files\SplunkUniversalForwarder in\splunk-winevtlog.exe“”splunk-winevtlog - WinEventMon::configure: 无法找到通道名称='Microsoft-Windows-DHCP 服务器事件/操作的事件日志'
来自 ""C:\Program Files\SplunkUniversalForwarder in\splunk-winevtlog.exe"" splunk-winevtlog 的消息 - WinEventMon::configure: 无法找到通道名称='Microsoft-Windows-DHCP-Server/Microsoft 的事件日志-Windows-DHCP 服务器事件/操作'
对此的任何帮助将不胜感激。
获取正确的全名的最简单方法是右键单击日志叶节点并选择属性,然后在常规选项卡上您将看到一个全名字段。选择字段的完整内容并将确切的值粘贴到您的inputs.conf中,例如[WinEventLog://Microsoft-Windows-DNS-Client/Operational]名称。
我没有 DHCP 服务器来复制确切的值,但我很确定它会类似于“Microsoft-Windows-Dhcp-Server/Operational”。
[WinEventLog://DhcpAdminEvents]
可行,这可能是微软坚持通用命名的问题