1- Kurulum
Aşağıdaki linkten nxlog agent indirilir.
https://nxlog.co/system/files/products/files/348/nxlog-ce-2.10.2150.msi
Next – next – finish (kurulum yapılan dosya dizini defaultta C:\Program Files (x86)\nxlog olur. Eğer farklı bir dizine kurulum yapılacaksa konfigürasyon dosyasında ona göre tanımlamanız gerekir.
2- Konfigürasyon
C:\Program Files (x86)\nxlog\conf dosyasını herhangi bir editör ile açın (tercihen notepad++). Logsign_IP kısmını düzenleyerek aşağıdaki conf ile replace edin. ( Windows 2008 ve sonrası için geçerlidir.)
Konfigürasyon dosyasını sayfanın altındaki linkden indirebilirsiniz.
# NXLog configuration for converting and sending Windows logs to Logsign SIEM
# Both Community and Enterprise Editions of NXLog are supported.
define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log
<Extension _json>
Module xm_json
</Extension>
<Input in_eventlog>
# For windows 2008/vista/7/8/2012/2012R2 and latter use the following:
Module im_msvistalog
ReadFromLast TRUE
SavePos TRUE
Query <QueryList> \
<Query Id="0"> \
<Select Path="Security">*</Select> \
<Select Path="Application">*</Select> \
<Select Path="System">*</Select> \
</Query> \
</QueryList>
Exec to_json();
</Input>
<Output out_eventlog>
Module om_udp
Host LogsignIP
Port 514
</Output>
<Route eventlog>
Path in_eventlog => out_eventlog
</Route>
3- Servisi çalıştırma
Run -> services.msc
Nxlog servisine sağ tıklayıp start dediğinizde konfigürasyonunuzda herhangi bir hata yoksa servis çalışmaya başlayacaktır.
Konfigürasyonda sorun olup olmadığını C:\Program Files (x86)\nxlog\data\nxlog.log dosyasından kontrol edebilirsiniz.
Daha sonra Logsign’a ilgili kaynağı syslog olarak ekleyebilirsiniz. (plugin / vendor olarak nxlog / windows agent seçilmeli)