在事件記錄系統當中，Syslog 可以算是流通最廣泛且支援性最廣的其中一種，尤其是 Unix-like 的作業系統幾乎都能支援它，因此對於我們要做集中收納記錄的機制是便利而快速。

但現實生活中就是充滿了各種變數，偏偏市佔率極高的 Windows 作業系統就不支援它，再加上前一篇我們介紹過一款相當強悍的 Graylog 系統它也是吃 Syslog 為主，難道就要放棄 Windows 不管嗎？

不，坐以待斃並不是我們的風格。

方案介紹

這個世界上不缺方案，只缺運氣，而我們開源陣營的運氣一直都相當不錯，有一款名叫 NXLog 的工具它有開源社群版本 (Open Source Community Edition)，這讓我們不僅可以解決 Windows 事件記錄轉送的難題，他還更具備了更多的驚人藝業。

• 支援跨平台作業系統
• 支援多種傳輸協定
• 高度彈性的設定組合方式
• 支援廣泛的資料來源
• 支援多種的資料目的
• 支援許多資料格式
• 提供事件轉送前的轉換處理 (例如字元編碼、格式轉換)
• 提供事件轉送篩選器

支援執行的作業系統：

• Debian
• RedHat/CentOS
• Ubuntu
• Windows
• Android
• Docker

支援記錄類型的平台：

• AIX
• FreeBSD
• OpenBSD
• Linux
• macOS
• Solaris
• Windows

資料輸入來源：

• Database (MySQL、PostgreSQL、MSSQL、Sybase、Oracle、SQLite、Firebird)
• External Programs (外部程式執行結果)
• File (檔案)
• EventLog (Windows)
• Syslog

資料輸出目的：

• Database (MySQL、PostgreSQL、MSSQL、Sybase、Oracle、SQLite、Firebird)
• Program (丟給指定程式)
• Files (寫進檔案)
• Http/Https (目的網址)
• Syslog

資料格式：

• CSV
• Syslog (RFC 3164 BSD Syslog)
• GELF (Graylog 專用格式)
• JSON
• Key-Value
• XML

NXLog CE 所能提供的功能極其豐富，這裡所能列出的只是它的一小部份。不僅可以做字元編碼的轉換，還可以決定要往外轉送的事件先做過篩選才出去，或者指定那些事件丟往 A 主機，那些丟往 B 主機等，非常靈活，幾乎沒有它做不到的。

安裝方式

由於 Linux、FreeBSD 等 Unix-Like 主機絕大多數都有內建 Syslog 套件，因此會使用到 NXLog CE 的場合通常都是在 Windows 作業系統上，所以我們就以 Windows 做為目標為安裝對象。

NXLog CE 的 Windows 版本安裝方式就與一般軟體沒有兩樣，不斷的下一步最終即可安裝完成，預設的安裝路徑會在 C:\Program Files (x86)\nxlog 之下，對我們而言最重要的設定檔案都在其中的 conf 資料夾裡。

在 conf 資料夾當中有一個 nxlog.conf 檔案，它就是整個 NXLog CE 運作的靈魂，所有的事件記錄轉換、轉送、篩選等等處理，通通都在這裡。

主要功能

最常用也最基本的用法，就是利用 NXLog CE 把 Windows EventLog 的事件內容轉換丟給 Syslog 伺服器，或是丟給前一篇提到的 Graylog 。

設定方式其實相當容易，以文字編輯器開啟 nxlog.conf，參考以下幾種設定。

Windows 至 Syslog

define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension _syslog>
    Module xm_syslog
</Extension>

<Input in>
    # Vista (含)以後的作業系統請使用 im_msvistalog
    Module im_msvistalog

    # 2003 (含)以前的作業系統請使用 im_mseventlog
    # Module im_mseventlog
</Input>

<Output out>
    Module om_udp
    Host 192.168.1.111
    Port 514
    Exec to_syslog_snare();
</Output>

<Route 1>
    Path in => out
</Route>

以上的設定是指定 Input 輸入來源是 Windows EventLog 格式，輸出目的是 Syslog 格式至 Syslog 伺服器，再指定一個 Route 告訴 NXLog CE 要把 in 這個 Input 丟給 out 這個 Output，就做完了整個流程。

Windows 至 Graylog

define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

<Extension _syslog>
    Module xm_gelf
</Extension>

<Input in>
    # Vista (含)以後的作業系統請使用 im_msvistalog
    Module im_msvistalog

    # 2003 (含)以前的作業系統請使用 im_mseventlog
    # Module im_mseventlog
</Input>

<Output out>
    Module om_udp
    Host 192.168.1.111
    Port 12201
    OutputType GELF
</Output>

<Route 1>
    Path in => out
</Route>

以上的設定是指定 Input 輸入來源是 Windows EventLog 格式，輸出目的是 GELF (Graylog) 格式至 Graylog 伺服器，再指定一個 Route 告訴 NXLog CE 要把 in 這個 Input 丟給 out 這個 Output，就做完了整個流程。

Windows 記錄類型支援

在 NXLog CE 中已經內建支援多種 Windows 上的事件記錄類型，依據官方文件所述有以下模組可以使用：

• 登錄檔 (Registry)
• 事件記錄 (Event Log)
• 事件追蹤 (Event Tracing)
• 效能計數器 (Performance Counters)

沒有直接支援的模組，但依據官方文件操作與設定後可以分析的類型，設定方式可至文末參考資料第二項翻閱：

• .NET 應用程式
• Applocker
• DHCP
• DNS
• Exchange
• IIS
• PowerShell
• SCOM
• SharePoint
• Snare
• Sysmon
• WMI
• 防火牆
• 檔案完整性
• 網域控制站
• 自訂程式

進階用法

前面的設定是最基本型的用法，將所有事件吃進來後丟出去，但 NXLog CE 所能做的可不僅僅如此而已。

事件篩選

在某些情況下，我只想要丟特定的事件出去呢？

舉例，我只想要篩選 Active Directory 上某些認證或登入失敗的事件轉送出去就好，NXLog CE 也完全能夠滿足這些需求。

設定檔中的 Input、Output 區段都需要修改：

<Input in> 
Module im_msvistalog 
Query <QueryList><Query Id="0"><Select Path="Security">*[System[(EventID=4740 or EventID=4625)]]</Select></Query></QueryList>
</Input> 

<Output out> 
    Module om_udp 
    Host 192.168.1.111 
    Port 514 
    Exec to_syslog_snare(); 
</Output> 

在上面這個範例當中，我們針對 Windows EventLog 的 4740 (已自動鎖定使用者帳戶) 與 4625 (登入失敗。嘗試以不明的使用者名稱，或已知使用者名稱與錯誤密碼登入) 這兩種 EventID 做篩選，最終只丟出這兩種我想要關注的事件，可以大幅減少丟往 Syslog 伺服器的資料量，減輕系統的負擔。

編碼轉換

不同的系統或軟體可能使用不同的編碼，例如部份舊系統使用 Big5，當丟到 Graylog 上的時候可能就會造成中文顯示亂碼。

這時我們就可以利用 NXLog CE 的字元編碼轉換功能，協助我們預先轉好再傳送出去，解決這個問題。

設定相關範例如下：

<Extension charconv>
    Module xm_charconv    
</Extension>

<Extension _syslog>
    Module xm_gelf
</Extension>

<Input in>
    # Vista (含)以後的作業系統請使用 im_msvistalog
    Module im_msvistalog

    # 2003 (含)以前的作業系統請使用 im_mseventlog
    # Module im_mseventlog

    # 字元編碼轉換
    Exec convert_fields("big5", "utf-8");
</Input>

<Output out>
    Module om_udp
    Host 192.168.1.111
    Port 12201
    OutputType GELF
</Output>

<Route 1>
    Path in => out
</Route>

主要是在 Input 區段中增加一行轉換程序，即可完成這項工作。

外部程式

儘管 NXLog CE 支援的記錄來源已經很多，但仍然有可能會有漏網之魚，例如較為冷門的系統或是自行開發的程式。

當然，這也難不倒 NXLog CE，可以經由外部程式的方式將執行結果的 標準輸出 (stdout) 收集進來以後，再轉送給記錄中心。

請參考設定範例：

<Input in>
    Module im_exec
    Command /usr/bin/tail
    Arg /var/log/messages
    <Schedule>
        Every 10 min 
        First 2019-10-02 01:05:00
        Exec log_info("scheduled execution at " + now());
    </Schedule>
</Input>

<Output out>
    Module om_udp
    Host 192.168.1.111
    Port 12201
    OutputType GELF
</Output>

<Route 1>
    Path in => out
</Route>

這個範例，利用 im_exec 輸入模組執行特定指令，搭配 Schedule 進行排程處理，每 10 分鐘執行 tail 指令把 messages 檔案的內容最後十行取出轉送至 Graylog。

文字檔案

如果是已經既存的文字記錄檔，會由軟體不斷持續寫入的形式，NXLog CE 也可以持續監看這個檔案是否有新的內容，再加以轉發出去。

設定範例如下：

<Input file>
    Module im_file
    File '/tmp/in.log'

    # 啟用流量控制
    FlowControl TRUE

    # 記住最後位置
    SavePos TRUE
</Input>

<Output tcp>
    Module om_tcp
    Host 192.168.1.111
    Port 12203
</Output>

<Route r>
    Path file => tcp
</Route>

這個設定範例，會持續從 in.log 這個文字記錄檔內讀取走 TCP 轉送出去至另一台主機，並且會記住最後的位置，當有新的記錄進來才會再加以轉送。

除此之外，NXLog CE 還有太多的能力與技巧值得我們去探索，這些都在官方的文件中有詳細的說明。

結論

在資安事件分析的情境之中，能夠整合異質平台的事件記錄是一件大工程，而 NXLog CE 俱備了強大的功能與豐富的轉換能力，極大程度的降低管理者負擔，讓我們可以專心的把資料收進中央伺服器後從容的進行資料運用，分析出我們所真正關注的核心數據。

參考資料

• NXLog Community Edition - Downloads | nxlog.co
  https://nxlog.co/products/nxlog-community-edition/download

• NXLog User Guide | Microsoft Windows
  https://nxlog.co/documentation/nxlog-user-guide/windows.html

• NXLog User Guide | Introduction
  https://nxlog.co/documentation/nxlog-user-guide/introduction.html