Windows 8.1, Windows Server 2012 R2 에서는 이전 포스트의 컨피그로 구동했을 시에
아래와 같은 에러 메시지와 함께 로그 전달이 실패할 수 있다.
"ERROR Couldn't read next event, corrupted eventlog?;"
이럴 시에는 아래와 같이 Input의 Query 구문을 추가하여 NXLog 로 읽어 올 Windows Eventlog의 항목을 지정해주어야 한다.
아래 Query 구문의 Path 는 윈도우 이벤트 로그의 <Channel> 항목의 값이며, <Channel> 항목의 정확한 값을 확인하기 위해서는 이벤트 로그의 XML RAW 데이터를 확인하면 된다.
-------- nxlog.conf
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
<Extension gelf>
Module xm_gelf
</Extension>
<Input in>
Module im_msvistalog
ReadFromLast FALSE
SavePos FALSE
Query <QueryList>\
<Query Id="0">\
<Select Path="Application">*</Select>\
<Select Path="System">*</Select>\
<Select Path="Security">*</Select>\
<Select Path="Setup">*</Select>\
<Select Path="Microsoft-Windows-TerminalServices-LocalSessionManager/Operational">*</Select>\
</Query>\
</QueryList>
</Input>
<Output out>
Module om_udp
Host log.wign21.net
Port 5415
OutputType GELF
</Output>
<Route 1>
Path in => out
</Route>
