How to forward Windows 2003 logs

kbakeragx · ‎08-27-2019

New to Splunk, I am trying to get logs forwarded from a 2003 server that we have, but having no luck.
I installed a legacy version of the universal forwarder.
I modified the input.conf file to have the correct hostname:

[default]
host = fax

Windows platform specific input processor.

[WinEventLog://Application]
disabled = 0 

[WinEventLog://Security]
disabled = 0 

[WinEventLog://System]
disabled = 0

This didn't work, so I got the name/path of the log and tried this:

[monitor://C:\WINDOWS\System32\config\SecEvent.Evt]

This also didn't work. I'm still new to Splunk(2 weeks in) so I apologize if this is an easy one, but does anyone have any suggestions? I haven't been able to find any documentation online about how to configure the input.conf file in 2003 to point to the logs.

Thanks!
Kevin Baker

p_gurav · ‎08-28-2019

Could you share the outputs.conf configured?

memarshall63 · ‎08-28-2019

You might check to see if the UF is making a good connection with your indexer first:

*After running splunk add forward-server, the forwarder should be communicating with the indexer
– Splunk forwarder logs are automatically sent to the indexer's _internal index

• To check for successful connection from the indexer:
– In the GUI, search index=_internal host=forwarder_hostname
– From CLI, run splunk display listen
• On the forwarder:
– To view current forwarder to indexer configuration, run splunk list forward-server*

kbakeragx · ‎08-28-2019

Thanks for the tip. I was able to get it communicating. I had originally set up an input for UDP:9997 where the outputs.conf was trying TCP. I changed it to TCP9998 and then created an input for that port and now its atleast sending something. Im not sure what log this is but it doesnt seem to be sending the correct logs through. Heres an example:

--splunk-cooked-mode-v3--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00FAX\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008089\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00__s2s_capabilities\x00\x00\x00\x00ack=0;compression=0\x00\x00\x00\x00\x00\x00\x00\x00_raw\x00

I have a number of those, but nothing that looks like a normal windows event log.

When I created the input for the TCP:9998 input, I selected the sourcetype as WinEventLog:Security.

Thanks
Kevin

kbakeragx · ‎08-28-2019

Here is the output.conf file:

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = agxopsplunk01.agrexinc.com:9997

[tcpout-server://agxopsplunk01.agrexinc.com:9997]

jawaharas · ‎08-28-2019

Have you enabled the listening port 9997 on the indexer agxopsplunk01.agrexinc.com? Also, verify connectivity between your Universal forwarder and Indexer on port 9997.

Reference:
https://docs.splunk.com/Documentation/Splunk/7.3.1/Forwarding/Enableareceiver

How to forward Windows 2003 logs

Introducing the 2024 SplunkTrust!

Introducing the 2024 Splunk MVPs!

Splunk Custom Visualizations App End of Life