Getting Data In

How to forward Windows 2003 logs

kbakeragx
New Member

New to Splunk, I am trying to get logs forwarded from a 2003 server that we have, but having no luck.
I installed a legacy version of the universal forwarder.
I modified the input.conf file to have the correct hostname:

[default]
host = fax

Windows platform specific input processor.

[WinEventLog://Application]
disabled = 0 

[WinEventLog://Security]
disabled = 0 

[WinEventLog://System]
disabled = 0 

This didn't work, so I got the name/path of the log and tried this:

[monitor://C:\WINDOWS\System32\config\SecEvent.Evt]

This also didn't work. I'm still new to Splunk(2 weeks in) so I apologize if this is an easy one, but does anyone have any suggestions? I haven't been able to find any documentation online about how to configure the input.conf file in 2003 to point to the logs.

Thanks!
Kevin Baker

0 Karma

p_gurav
Champion

Could you share the outputs.conf configured?

0 Karma

memarshall63
Communicator

You might check to see if the UF is making a good connection with your indexer first:

*After running splunk add forward-server, the forwarder should be communicating with the indexer
– Splunk forwarder logs are automatically sent to the indexer's _internal index

• To check for successful connection from the indexer:
– In the GUI, search index=_internal host=forwarder_hostname
– From CLI, run splunk display listen
• On the forwarder:
– To view current forwarder to indexer configuration, run splunk list forward-server*

0 Karma

kbakeragx
New Member

Thanks for the tip. I was able to get it communicating. I had originally set up an input for UDP:9997 where the outputs.conf was trying TCP. I changed it to TCP9998 and then created an input for that port and now its atleast sending something. Im not sure what log this is but it doesnt seem to be sending the correct logs through. Heres an example:

--splunk-cooked-mode-v3--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00FAX\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008089\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00__s2s_capabilities\x00\x00\x00\x00ack=0;compression=0\x00\x00\x00\x00\x00\x00\x00\x00_raw\x00

I have a number of those, but nothing that looks like a normal windows event log.

When I created the input for the TCP:9998 input, I selected the sourcetype as WinEventLog:Security.

Thanks
Kevin

0 Karma

kbakeragx
New Member

Here is the output.conf file:

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = agxopsplunk01.agrexinc.com:9997

[tcpout-server://agxopsplunk01.agrexinc.com:9997]

0 Karma

jawaharas
Motivator

Have you enabled the listening port 9997 on the indexer agxopsplunk01.agrexinc.com? Also, verify connectivity between your Universal forwarder and Indexer on port 9997.

Reference:
https://docs.splunk.com/Documentation/Splunk/7.3.1/Forwarding/Enableareceiver

0 Karma
.conf21 Now Fully Virtual!
Register for FREE Today!

We've made .conf21 totally virtual and totally FREE! Our completely online experience will run from 10/19 through 10/20 with some additional events, too!