Graylog et event viewer de windows

Ben, maintenant que j’ai un beau service qui centralise mes logs, autant ajouter les events viewer de windows :

Télécharger et installer ceci sur les serveurs qui doivent renvoyer leurs logs : https://nxlog.co/system/files/products/files/348/nxlog-ce-2.10.2150.msi

Ajouter un peu de confirguration :C:\Program Files (x86)\nxlog\conf\nxlog.conf

<Extension gelf>
	Module	xm_gelf
</Extension>

<Input win>
	Module	im_msvistalog
	Query <QueryList><Query Id="0"><Select Path="Application">*</Select></Query></QueryList>
	Exec $Hostname = hostname();
</Input>

<Input in_sys>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="System">*</Select></Query></QueryList>
Exec $Hostname = hostname();
</Input>

<Output graylog>
Module	om_tcp
Host	192.168.1.119
Port	12201
OutputType	GELF_TCP
</Output>

<Route graylog_route>
Path	win => graylog
</Route>

<Route graylog_route>
Path	in_sys => graylog
</Route>

Il me donne un message d’erreur au début : “WARNING Due to a limitation in the Windows EventLog subsystem, a query cannot contain more than 256 sources.” c’est pour ça que j’ai du ajouter les

<QueryList><Query Id="0"><Select Path="Application">*</Select></Query></QueryList>

(merci à https://nxlog.co/question/4644/nxlog-service-keep-stopping-every-few-days)