Настройка событий Syslog

По умолчанию Log Server в Syslog записывает только уникальный идентификатор события — атрибут reason. Чтобы записывать дополнительные атрибуты, укажите имена этих атрибутов в файле схемы для соответствующего события.

1. Чтобы найти необходимый файл с событиями Syslog, откройте am/ls/clientApps.config и в блоке Applications найдите значение параметра SchemaId.

   Пример

    <ApplicationsConfiguration>
      <Applications>
        <Application Id="ea" SchemaId="eaSchema">
        ...
      <Applications>

2. Откройте для редактирования файл с событиями, например am/ls/eaSchema.config, где eaSchema — значение параметра SchemaId.

3. Найдите необходимое событие и в блоке Attributes добавьте значения для атрибутов, которые хотите отображать в событии. Для этого в строке с соответствующим атрибутом добавьте один из следующих параметров с любым значением:

   • для формата CEF — CefName=""
   • для формата LEEF — LeefName=""

В следующем примере событие LogonByAuthenticatorSucceeded записывается с атрибутами: reason (по умолчанию), requestApplication и requestComputer.

Пример для формата CEF

    <Event Name="LogonByAuthenticatorSucceeded" Severity="info" Text="LogonByAuthenticatorSucceededText" Code="1000">
      <Attributes>
        <Attribute Name="requestApplication" Type="string" CefName="requestApplication"/>
        <Attribute Name="requestUser" Type="string" />
        <Attribute Name="requestComputer" Type="string" CefName="requestComputer"/>
        <Attribute Name="authMode" Type="string" />
        <Attribute Name="authComment" Type="string"/>
        <Attribute Name="businessApplication" Type="string" DefaultValue=""/>
      </Attributes>
    </Event>

Пример события по заданным параметрам

<134>Nov 7 06:41:58 31f8d1a0234e ea[1]: CEF:0|Indeed|server|unknown|1000|LogonByAuthenticatorSucceeded|4|reason=164fca53-8ae9-45f9-ab7e-8f89a4b528c9 requestApplication=RDP Windows Logon requestComputer=**** businessApplication=