开启文件共享日志审计

1、在文件共享的目录上右键->安全->高级->审核

2、添加,主体选择Authenticacted Users或者Everyone,勾选如下权限,然后确定

3、打开事件查看器,定位到Windows日志->安全,可以看到已经有日志过来了,这里主要有用的事件id是4663和4659:

安装nxlog采集日志

1、安装过程不多描述,装完之后改配置文件如下:

define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension _syslog>
    Module xm_syslog
</Extension>

<Input in>
    # Vista (含)以後的作業系統請使用 im_msvistalog
    Module im_msvistalog
    Query <QueryList><Query Id="0"><Select Path="Security">*[System[(EventID=4663)or(EventID=4659)]]</Select></Query></QueryList>
    # 2003 (含)以前的作業系統請使用 im_mseventlog
    # Module im_mseventlog
</Input>

<Output out>
    Module om_udp
    #填syslog服务器信息
    Host 10.168.0.99
    Port 514
    Exec to_syslog_snare();
</Output>

<Route 1>
    Path in => out
</Route>

2、改完配置后重启一下服务即可

配置syslog服务器接收日志

1、同样,安装过程不多描述,直接说配置:

#下面4条必须打开
$ModLoad imuxsock
$ModLoad imjournal
$ModLoad imudp
$UDPServerRun 514
#添加一个模板,hostname是变量,可直接根据主机名分组
$template RemoteLogs,"/var/log/%HOSTNAME%/security.log" *
#调用模板
*.* ?RemoteLogs
& ~

2、配完之后重启rsyslog即可,下面是实际效果: