一、Windows 审计日志 + IIS 日志联合采集配置示例（nxlog.conf）

define ROOT C:\Program Files (x86)\nxlog
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %ROOT%\data\nxlog.log

# 采集 Windows 安全审计日志
<Input win_security>
    Module im_msvistalog
    Query <QueryList>
        <Query Id="0">
            <Select Path="Security">*</Select>
        </Query>
    </QueryList>
</Input>

# 采集 IIS 网站访问日志
<Input iis_log>
    Module im_file
    File "C:\inetpub\logs\LogFiles\W3SVC*\*.log"
    SavePos TRUE
    ReadFromLast TRUE
</Input>

# 日志输出到集中审计服务器
<Output log_center>
    Module om_udp
    Host 192.168.1.100
    Port 514
</Output>

# 路由定义
<Route win_route>
    Path win_security => log_center
</Route>

<Route iis_route>
    Path iis_log => log_center
</Route>

二、技术说明

本配置通过 NXLog 同时采集 Windows 操作系统安全审计日志与 IIS 网站访问日志，实现主机级与应用级日志的统一审计。

Windows 审计日志通过 im_msvistalog 模块读取 Security 事件日志，可用于记录用户登录、登录失败、权限提升、账号变更等关键安全行为。
IIS 访问日志通过 im_file 模块采集默认 W3C 日志文件，用于审计网站访问来源、请求内容及异常访问行为。

所有日志统一发送至集中日志服务器进行存储与分析，可用于安全事件追溯、入侵分析及满足等保、审计检查等合规要求。