Splunk - 收集 Microsoft Windows DHCP 服务器操作事件日志

Question

我们想将 Microsoft Windows DHCP 服务器操作事件日志收集到 Splunk 中，但似乎遇到了一些问题。

我们在 Windows 事件查看器导航树中感兴趣的日志的路径是

> Applications and Services Logs
 > Microsoft
  > Windows
   > DHCP-Server
    -  Microsoft-Windows-DHCP Server Events/Operational

我们认为问题出在我们的输入配置上，我们已经在 inputs.conf 中尝试了许多不同的配置，这些配置似乎适合此应用，包括以下配置，但我们尚未收到任何事件。

[WinEventLog://Microsoft-Windows-DHCP Server Events/Operational]

和

[WinEventLog://Microsoft-Windows-DHCP-Server/Microsoft-Windows-DHCP Server Events/Operational]

这些配置导致了以下错误：

来自“C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe”的消息 splunk-winevtlog - WinEventMon::configure: 无法找到通道名称为“Microsoft-Windows-DHCP 服务器事件”的事件日志/操作'

来自“C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe”的消息 splunk-winevtlog - WinEventMon::configure: 无法找到通道名称为“Microsoft-Windows-DHCP-Server”的事件日志/Microsoft-Windows-DHCP 服务器事件/操作'

对此的任何帮助将不胜感激。

谢谢。

Answer 1

获取正确全名的最简单方法是右键单击日志叶节点并选择属性，然后在常规选项卡您将看到一个全名字段。选择该字段的完整内容并将该确切值粘贴到您的 inputs.conf 中，例如 [WinEventLog://Microsoft-Windows-DNS-Client/Operational] 名称。

我没有 DHCP 服务器来复制确切的值，但我很确定它会类似于“Microsoft-Windows-Dhcp-Server/Operational”。