如何使用 nxlog 管理配置 windows dhcp 日誌...本文件描述 n-reporter...

0

0 Copyright © All rights are reserved by N-Partner Technologies Co.

如何使用 NXLOG 管理配置 Windows DHCP 日誌

如何使用 NXLOG 管理配置Windows DHCP 日誌 V 003(繁體)

2017/11/21



前言本文件描述 N-Reporter 使用者如何使用 Open Source 工具 NXLOG 管理配置 Windows DHCP

Server 的 log，將 log 轉成 syslog，再轉發到 N-Reporter 做正規化、稽核與分析。本文件配置的環境分

別為 Windows Server 2003、Windows Server 2008、Windows Server 2012。

文件章節如下：

1 安裝設定Windows DHCP Server的 NXLog ..................................................................................................... 2

1.1 For Windows Server 2003 .................................................................................................................. 2



2 Windows DHCP Server設定 ............................................................................................................................ 12

2.1 Windows 2003設定 DHCP記錄檔 .................................................................................................. 12



3 Web管理介面新增Windows DHCP設備 ................................................................................................... 16

連絡資訊 ................................................................................................................................................................. 18

2



1 安裝設定 Windows DHCP Server 的 NXLog

1.1 For Windows Server 2003

1. 下載 NXLOG：

前往 URL http://nxlog.org/products/nxlog-community-edition/download

請下載網頁中提供的最新版 nxlog-ce-x.x.xxxx.msi，本例為下載 nxlog-ce-2.9.1716.msi。

2. 安裝 NXLOG：

滑鼠雙點 nxlog-ce-2.9.1716.msi，點選[ Install ]，執行 NXLog 程式安裝步驟。

3. 下載設定 Windows 2003 NXLOG 配置檔 nxlog_win2k3_dns.conf：

前往 URL：http://www.npartnertech.com/download/tech/nxlog_win2k3_dhcp.conf

開啟並編輯此檔案路徑＂C:\ Program Files (x86)\nxlog\conf\nxlog.conf＂路徑中的 NXLOG 配置

檔, 將上面的 URL 上的 nxlog_win2k3_dhcp.conf 裡的設定內容複製, 然後貼上並覆蓋

C:\Program Files (x86)\nxlog\conf\nxlog.conf＂路徑中的 nxlog.conf 檔案中的參數設定後存檔。

註 1：此文件範例為 Windows 64 位元作業系統，請依客戶端實際環境作業系統選擇相對應的檔案路徑

http://nxlog.org/products/nxlog-community-edition/download

http://www.npartnertech.com/download/tech/nxlog_win2k3_dhcp.conf



4. 編輯 nxlog.conf

綠色文字部位請依 OS 環境為 32 位元或 64 位元選擇 NXLOG 正確的安裝路徑

本文件範例環境為 64 位元 OS 系統, 選擇＂define ROOT C:\Program Files (x86)\nxlog＂。

紅色文字部位請輸入 N-Reporter IP，本文件範例為輸入＂192.168.2.58＂。

黃色文字部分請輸入 DHCP log 路徑。本文件範例為" C:\WINDOWS\system32\dhcp"，所以本文件請

輸入" define DHCP_LOG_DIR C:\WINDOWS\system32\dhcp "。

註 2：若Ｗindows Server 需要同時稽核 Windows AD 事件，請參考官網文件" Windows AD audit to syslog "設定。

註 3：本文件範例只有送出 Windows DHCP 的 UDP Syslog。若是使用者需要送 Windows Server 多樣的 syslog，或是需要保證

不掉封包，送出 TCP Syslog，請參考 NXLOG community edition 的線上說明配置。

設定範例如下圖： ## This is a sample configuration file. See the nxlog reference manual about the

## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html

## Please set the ROOT to the folder your nxlog was installed into,

## otherwise it will not start.

#define ROOT C:\Program Files\nxlog

define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules

CacheDir %ROOT%\data

Pidfile %ROOT%\data\nxlog.pid

SpoolDir %ROOT%\data

LogFile %ROOT%\data\nxlog.log

<Extension syslog>

Module xm_syslog

</Extension>

##Windows eventlog to syslog

##If you configure windows2k3 or windows2k3 AD eventlog , remove comment of line 22 to line 48.

#<Input in_eventlog>

## For windows 2003 and earlier use the following:

# Module im_mseventlog

# ReadFromLast TRUE

# SavePos TRUE

# Exec parse_syslog_bsd(); \

# if ($EventID == 672 or $EventID == 673 or $EventID == 675 or $EventID == 528 or $EventID == 529 or $EventID == 538 or $EventID == 540 or $EventID

== 551 or $EventID == 560 or $EventID == 612 or $EventID == 624 or $EventID == 626 or $EventID == 627 or $EventID == 628 or $EventID == 629 or $EventID ==

630 or $EventID == 631 or $EventID == 632 or $EventID == 633 or $EventID == 634 or $EventID == 635 or $EventID == 636 or $EventID == 637 or $EventID ==

638 or $EventID == 641 or $EventID == 642 or $EventID == 645 or $EventID == 646 or $EventID == 647) { $SyslogFacilityValue = 13; } \

# else if ($SourceName == "Service Control Manager") { $SyslogFacilityValue = 13; } \

# else if ($SourceName =~ /^MSSQL*/) { $SyslogFacilityValue = 18; } \

# else\

# {\

# drop();\

# }

#</Input>

#<Output out_eventlog>

# Module om_udp

# Host 192.168.2.58

# Port 514

# Exec $Message = string($EventID) + ": " + $Message;

# Exec if ($EventType == 'ERROR' or $EventType == 'AUDIT_FAILURE') { $SyslogSeverityValue = 3; } \

# else if ($EventType == 'WARNING') { $SyslogSeverityValue = 4; } \

# else if ($EventType == 'INFO' or $EventType == 'AUDIT_SUCCESS') { $SyslogSeverityValue = 5; }

# Exec to_syslog_bsd();

#</Output>

#<Route eventlog>

# Path in_eventlog => out_eventlog

#</Route>

##DNS debug log to syslog

##If you configure windows2k3 DNS server , remove comment of line 52 to line 68.

#define DNS_LOG_DIR C:\WINDOWS\system32\dns

http://www.npartnertech.com/Support.html

http://107.170.5.221/docs/nxlog-ce/nxlog-reference-manual.html

4



#<Input in_dns>

# Module im_file

# File '%DNS_LOG_DIR%\dns.log'

# ReadFromLast TRUE

# SavePos TRUE

#</Input>

#<Output out_dns>

# Module om_udp

# Host 192.168.2.58

# Port 514

# Exec $SyslogFacilityValue = 19;


#</Output>

#<Route dns>

# Path in_dns => out_dns

#</Route>

##DHCP log to syslog

##If you configure windows2k3 DHCP server , remove comment of line 72 to line 88.

define DHCP_LOG_DIR C:\WINDOWS\system32\dhcp

<Input in_dhcp>

Module im_file

File '%DHCP_LOG_DIR%\DhcpSrvLog-*.log'

ReadFromLast TRUE

SavePos TRUE

</Input>

<Output out_dhcp>

Module om_udp

Host 192.168.2.58

Port 514

Exec $SyslogFacilityValue = 20;

Exec to_syslog_bsd();

</Output>

<Route dhcp>

Path in_dhcp => out_dhcp

</Route>

5. 啟動 NXLOG 程式：

a. 以系統管理員身份執行[ 命令提示字元 ]啟動 NXLOG :

[ 開始 ]→[ 所有程式 ]→[ 應用附屬程式 ] → [ 命令提示字元 ]，滑鼠右鍵點[ 命令提示字

元 ]，選擇 [以系統管理員身分執行]。

命令提示字元輸入：

net stop nxlog

net start nxlog

#會看到以下訊息

The nxlog service is starting.

The nxlog service was started successfully.

b. [ 開始 ] →[ 所有程式 ]→[ 系統管理工具 ]→[ 服務 ] →找到[ nxlog ]，右鍵點服務[ nxlog ]，點

[ 啟動 ]或[ 重新啟動 ]。

6. 檢查 NXLOG 是否正常啟動：

開啟檢查 NXLOG 的 log 檔, 檔案路徑為＂C:\Program Files (x86)\nxlog\data\nxlog.log＂

若沒有顯示 Error 的訊息，表示正常啟動。


7. 新增Windows DHCP Server設備時, 資料格式請選擇[ Windows DHCP ]，Facility選擇 [ (20)

local use 4 (local4) ]。語系繁體版Windows請選擇[ BIG5 ]；簡體版Windows請選擇

[ GB2312 ]；英文版Windows 語系請選擇[ UTF8 ]。




1. 下載 NXLOG：



2. 安裝 NXLOG：


3. 下載設定 Windows 2008 NXLOG 配置檔 nxlog_win2k8_dhcp.conf：

前往 URL：http://www.npartnertech.com/download/tech/nxlog_win2k8_dhcp.conf

開啟並編輯此檔案路徑＂C:\Program Files (x86)\nxlog\conf\nxlog.conf＂路徑中的 NXLOG 配置

檔, 將上面的 URL 上的 nxlog_win2k8_dhcp.conf 裡的設定內容複製, 然後貼上並覆蓋




http://www.npartnertech.com/download/tech/nxlog_win2k8_dhcp.conf

6







黃色文字部分請輸入 DHCP log 路徑。本文件範例為"C:\WINDOWS\system32\dhcp"。

NXLOG 是 32 bit 應用程式，在 Windows 64bit 系統請以 Sysnative 取代 system32，才能找到路

徑，所以本文件請輸入" define DHCP_LOG_DIR C:\WINDOWS\Sysnative\dhcp "。

註 6：若Ｗindows Server 需要同時稽核 Windows AD 事件，請參考文件" Windows AD audit to syslog "設定。

註 7：本文件範例只有送出 Windows DHCP 的 UDP Syslog。若是使用者需要送 Windows Server 多樣的

syslog，或是需要保證不掉封包，送出 TCP Syslog，請參考 NXLOG community edition的線上說明配置。

設定範例如下圖：

## This is a sample configuration file. See the nxlog reference manual about the











<Extension syslog>

Module xm_syslog

</Extension>

###Windows eventlog to syslog

##If you configure windows2k8 or windows2k8 AD eventlog , remove comment of line 22 to line 87.


## For windows 2008/vista/7/8/2012/2012R2 and latter use the following:

# Module im_msvistalog

# ReadFromLast TRUE

# SavePos TRUE

# Query <QueryList> \

# <Query Id="0"> \

# <Select Path="Security">*[System[(EventID=1100)]]</Select> \










































# <Select Path="System">*[System[(EventID=7036)]]</Select> \

# <Select Path="Application">*[System[(EventID=18454)]]</Select> \


# </Query> \

# </QueryList>

#</Input>


# Module om_udp

# Host 192.168.2.58

# Port 514

# Exec $Message = string($SourceName) + ": " + string($EventID) + ": " + $Message;

# Exec if ($EventID == 18454 or $EventID == 18456 ) { $SyslogFacilityValue = 18; } \

# else { $SyslogFacilityValue = 13; }





#</Output>

#<Route eventlog>


#</Route>

###DNS debug log to syslog

##If you configure windows2k8 DNS server , remove comment of line 91 to line 107.

#define DNS_LOG_DIR C:\WINDOWS\Sysnative\dns

#<Input in_dns>

# Module im_file


# ReadFromLast TRUE

# SavePos TRUE

#</Input>

#<Output out_dns>

# Module om_udp

# Host 192.168.2.58

# Port 514



#</Output>

#<Route dns>


#</Route>

###DHCP log to syslog

##If you configure windows2k8 DHCP server , remove comment of line 111 to line 131.

define DHCP_LOG_DIR C:\WINDOWS\Sysnative\dhcp

<Input in_ipv4_dhcp>

Module im_file


SavePos TRUE

</Input>


Module im_file

File '%DHCP_LOG_DIR%\DhcpV6SrvLog-*.log'

SavePos TRUE

</Input>

<Output out_dhcp>

Module om_udp

Host 192.168.2.58

Port 514



</Output>

<Route dhcp>

Path in_ipv4_dhcp,in_ipv6_dhcp => out_dhcp

</Route>

8




c. 以系統管理員身份執行[ 命令提示字元 ]啟動 NXLOG :




net stop nxlog

net start nxlog




d. [ 開始 ] →[ 所有程式 ]→[ 系統管理工具 ]→[ 服務 ] →找到[ nxlog ]，右鍵點服務[ nxlog ]，點






7. 新增 Windows DHCP Server 設備時, [ 資料格式 ]請選擇[ Windows DHCP ]，Facility 選擇

[ (20) local use 4 (local4) ]。語系繁體版Windows請選擇[ BIG5 ]；簡體版Windows請選擇



1. 下載 NXLOG：



2. 安裝 NXLOG：


3. 下載設定 Windows 2012 NXLOG 配置檔 nxlog_win2012_dhcp.conf：

前往 URL：http://www.npartnertech.com/download/tech/nxlog_win2012_dhcp.conf

開啟並編輯此檔案路徑＂C:\Program Files (x86)\nxlog\conf\nxlog.conf＂路徑中的 NXLOG 配置

檔, 將上面的 URL 上的 nxlog_win2012_dhcp.conf 裡的設定內容複製, 然後貼上並覆蓋



http://www.npartnertech.com/download/tech/nxlog_win2012_dhcp.conf








黃色文字部分請輸入 DHCP log 路徑。本文件範例為"C:\WINDOWS\system32\dhcp"。

NXLOG 是 32 bit 應用程式，在 Windows 64bit 系統請以 Sysnative 取代 system32，才能找到路徑，

所以本文件請輸入" define DHCP_LOG_DIR C:\WINDOWS\Sysnative\dhcp "。

註 10：若Ｗindows Server 需要同時稽核 Windows AD 事件，請參考文件" Windows AD audit to syslog "設定。

註 11：本文件範例只有送出 Windows DHCP 的 UDP Syslog。若是使用者需要送 Windows Server 多樣的 syslog，

或是需要保證不掉封包，送出 TCP Syslog，請參考 NXLOG community edition的線上說明配置。

## This is a sample configuration file. See the nxlog reference manual about the











<Extension syslog>

Module xm_syslog

</Extension>

###Windows eventlog to syslog

##If you configure windows or windows AD eventlog , remove comment of line 22 to line 87.



10




## For windows 2008/vista/7/8/2012/2012R2 and latter use the following:

# Module im_msvistalog

# ReadFromLast TRUE

# SavePos TRUE

# Query <QueryList> \

# <Query Id="0"> \







































# <Select Path="System">*[System[(EventID=7036)]]</Select> \



# </Query> \

# </QueryList>

#</Input>


# Module om_udp

# Host 192.168.2.58

# Port 514

# Exec $Message = string($SourceName) + ": " + string($EventID) + ": " + $Message;

# Exec if ($EventID == 18454 or $EventID == 18456 ) { $SyslogFacilityValue = 18; } \

# else { $SyslogFacilityValue = 13; }





#</Output>

#<Route eventlog>


#</Route>

###DNS debug log to syslog

##If you configure windows DNS server , remove comment of line 91 to line 107.

#define DNS_LOG_DIR C:\WINDOWS\system32\dns

#<Input in_dns>

# Module im_file


# ReadFromLast TRUE

# SavePos TRUE

#</Input>

#<Output out_dns>

# Module om_udp

# Host 192.168.2.58

# Port 514





#</Output>

#<Route dns>


#</Route>

###DHCP log to syslog

##If you configure windows DHCP server , remove comment of line 111 to line 133.

define DHCP_LOG_DIR C:\WINDOWS\Sysnative\dhcp


Module im_file


ReadFromLast TRUE

SavePos TRUE

</Input>


Module im_file

File '%DHCP_LOG_DIR%\DhcpV6SrvLog-*.log'

ReadFromLast TRUE

SavePos TRUE

</Input>

<Output out_dhcp>

Module om_udp

Host 192.168.2.58

Port 514



</Output>

<Route dhcp>

Path in_ipv4_dhcp,in_ipv6_dhcp => out_dhcp

</Route>


a. 以系統管理員身份執行[ 命令提示字元 ]啟動 NXLOG :




net stop nxlog

net start nxlog




b. [ 開始 ] →[ 所有程式 ]→[ 系統管理工具 ]→[ 服務 ] →找到[ nxlog ]，右鍵點服務[ nxlog ]，點





新增 Windows DHCP Server 設備時, [ 資料格式 ]請選擇[ Windows DCHP ]，Facility 選擇

[ (20) local use 4 (local4) ]。語系繁體版Windows請選擇[ BIG5 ]；簡體版Windows請選擇


12



2 Windows DHCP Server 設定

本章節主要說明以下操作設定：

1.設定 DHCP 記錄檔。

安裝 NXLOG 的步驟，詳細請參閱第一章節。

2.1 Windows 2003 設定 DHCP 記錄檔

設定步驟如下：

1. 以系統管理員 Administrator 登入 Windows 2003 Server。

2. 滑鼠左點[ 開始 \ 系統管理工具 \ DHCP ]，開啟[ DHCP 管理員 ]。

3. 滑鼠左點[ DHCP server \ 執行 \ 內容 ]。



4. 滑鼠左點[ 進階 ]，[ 稽核記錄檔路徑 ]輸入 DHCP log存放路徑，本文件範例使用預設路徑

"C:\WINDOWS\system32\dhcp"。左點[ 確定 ]。





14



3. 滑鼠左點[ DHCP server \ 執行 \ 內容 ]。

4. 滑鼠左點 [ 進階 ]， [ 資料庫路徑 ]輸入 DHCP log 存放路徑，本文件範例使用預設路徑








3. 滑鼠左點[ DHCP server \ 動作 \ 內容 ]。

16



4. 滑鼠左點[ 進階 ]， [ 資料庫路徑 ]輸入 DHCP log 存放路徑，本文件範例使用預設路徑


3 Web管理介面新增Windows DHCP設備

1. 開啟瀏覽器，瀏覽 URL "http://$N-Reporter_IP" (HTTPS only 使用者請輸入"https://$N-

Reporter_IP")，再輸入管理員帳號/密碼，預設為 admin/admin，左點[ Login ]，登入 N-Reporter

Web 管理介面。



2. 滑鼠左點[ 設備管理 \ Syslog 設備 ]。

3. 滑鼠左點 Windows DHCP 未知設備的編輯鍵，本文件範例 Windows DHCP 的 IP 為

192.168.1.90。[名稱]輸入設備名稱，本例輸入"Win2k8 DHCP 192.168.1.90"，[ 資料格式 ]選擇

" Windows DHCP "，[ Facility ]選擇" (20) local use 4 (local4) "。語系繁體版Windows請選擇

[ BIG5 ]；簡體版Windows請選擇[ GB2312 ]；英文版Windows 語系請選擇[ UTF8 ]。選擇所屬

資料夾，本例選擇"其他"。左點[ 確認 ]。

註 12: 繁體版 Windows [ 語系 ]請選擇 BIG5；簡體版 Windows [ 語系 ]請選擇 GB2312；英文版

Windows [ 語系 ]請選擇 UTF8。

4. 滑鼠左點[ 事件查詢 ]，[ 報表製作依據 ]勾選[ Syslog ]，左點[ 查詢條件 \ 設備 ]，設備條件加

入Ｗindows DHCP 設備，左點[ 啟動查詢 ]。查詢結果顯示如下圖，查詢得到 DHCP log，且有

正規化，表示設定成功。

18



連絡資訊

N-Partner 公司連絡方式：

TEL: +886-4-23752865

FAX: +886-4-23757458

有關技術問題請洽：

Email: [email protected]

Skype：[email protected]

有關業務相關問題請洽：

Email: [email protected]

mailto:[email protected]

mailto:[email protected]

如何使用 nxlog 管理配置 windows dhcp 日誌...本文件描述 n-reporter...

Documents