telegraf.conf配置[[inputs.win_eventlog]]监控windows事件日志的关机日志

Viewed 39
win_eventlog

需求:提取非法关机的事件日志监控。
系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩溃或意外断电,则可能会导致此错误。
日志名称: System
来源: Microsoft-Windows-Kernel-Power
日期: 2022/8/29 20:52:51
事件 ID: 41
任务类别: (63)
级别: 关键
关键字: (70368744177664),(2)
用户: SYSTEM
计算机: nb-hz20187075.hikvision.com
描述:
系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩溃或意外断电,则可能会导致此错误。

telegraf.conf中
[[inputs.win_eventlog]]
eventlog_name = "system"
xpath_query = "event/system[eventid=41]"
提示配置不正确

请大佬帮忙,正确的应该如何进行配置

dazhang1
1 Answers

没玩过,你可以看一下 Telegraf 这个插件的 README

我看里边有这么一句话:

For XPath Query filtering set the xpath_query value, and eventlog_name will be ignored:

eventlog_name = ""
xpath_query = "Event/System[EventID=999]"

你可以删除 eventlog_name 的配置,然后 xpath_query 注意大小写试试

ulricqin1536

上面是不是少了 [[inputs.win_eventlog]]

ulricqin

这个测试过了的,不行
eventlog_name = ""
xpath_query = "Event/System[EventID=41]"
执行安装时提示错误:
2023-05-04T05:18:38Z E! error loading config file C:\Program Files\Telegraf\telegraf.conf: plugin inputs.system: line 7143: configuration specified the fields ["eventlog_name" "xpath_query"], but they weren't used

dazhang

厉害,上面这个确实是注销了,但改完还是不行

.\telegraf.exe
2023-05-04T06:55:07Z I! Loading config file:
2023-05-04T06:55:07Z E! [telegraf] Error running agent: no outputs found, did you provide a valid config file?

dazhang