Я пытаюсь передать только журналы приложений уровня предупреждений/ошибок/критического уровня через NXLog в свой стек ELK. Когда у меня есть эта конфигурация
<Input EventLog_In>
Module im_msvistalog
# this kinda works for me, put * to get everything
Query <QueryList>\
<Query Id="0">\
<Select Path="Application">*</Select>\
</Query>\
</QueryList>
Exec to_json();
</Input>
все работает нормально, и я собираю журналы приложений всех уровней. Я попытался ввести параметр в строку <Select Path> следующим образом.
<Select Path="Application">*[Application/Level=1]</Select>\
И он гадит сам, и я ничего не получаю. NXLog не сообщает о каких-либо проблемах, и я ничего не вижу на стороне logstash.
Я получил информацию о запросах средства просмотра событий из этой темы и адаптировал ее к моему варианту использования: https://serverfault.com/questions/543494/query-specific-logs-from-event-log-using-nxlog
