Syslog架设windows日志服务器-emailwht-ChinaUnix博客

Robert's&nbsp;Logwht.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

emailwht

博客访问： 5473290
博文数量： 890
博客积分： 12876
博客等级：上将
技术积分： 10760
用户组：普通用户
注册时间： 2004-10-04 14:18

个人简介

猝然临之而不惊，无故加之而不怒。

文章分类

全部博文（890）

Oracle（36）
虚拟化（5）
服务器（45）
安防技术（3）
网络技术（101）

CISCO（49）
关注农村（4）
房地产（8）
我家宝宝（33）
随思所想（181）
Novell（11）
PHP&SQL（19）
Windows（142）
English（3）
创业积累（21）
网络文摘（112）
图像设计（2）
Linux（164）

apache（0）

postfix（37）

iptables（13）

Squid（17）

Shell（12）
未分配的博文（0）

文章存档

2016年（1）

2014年（18）

2013年（41）

2012年（48）

2011年（65）

2010年（84）

2009年（121）

2008年（101）

2007年（129）

2006年（95）

2005年（118）

2004年（69）

我的朋友

相关博文

Syslog架设windows日志服务器

分类：网络与安全

2013-04-25 18:45:06

转一个windows下使用syslog的文章，没有时间测试了。

1 winodws服务器的配置

因为windows服务器不支持日志服务器，因此需要安装一个转换软件：

下载地址为：https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/

根据系统的版本下载32位和64位的程序。

解压后是两个文件evtsys.dll和evtsys.exe
把这两个文件拷贝到 c:\windows\system32目录下。

evtsys命令

Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i      Install service (安装服务)
-u      Uninstall service (卸载服务)
-d      Debug: run as console program (以debug模式运行)
-h host   Name of log host (日志服务器IP地址)
-p port   Port number of syslogd (日志服务器端口，默认是514)
-q char   Quote messages with character

打开Windows命令提示符（开始－>运行输入CMD）
C:\>evtsys –i –h 192.168.28.4   #（日志服务器的IP地址）
-i   表示安装成系统服务
-h  指定log服务器的IP地址

启动该服务:
C:\>net start evtsys

打开windows组策略编辑器 (开始->运行输入 gpedit.msc)
在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。OK,所有的配置windows端配置完成.

如果要卸载evtsys,则：
net stop evtsys
evtsys -u

2 优先级

优先级是选择条件的第二个字段，它代表消息的紧急程度。对一个应用程序来说，它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的，应用程序的使用者只能接受这样的安排——除非打算重新编译系统应用程序。表2按严重程度由低到高的顺序列出了所有可能的优先级。

优先级	含义	符号	SYSLOG序列号
debug	调试级-信息量最多	LOG_DEBUG	7
info	通知性消息	LOG_iINFO	6
notice	普通但重要的消息	LOG_NOTICE	5
warning	警告消息	LOG_WARING	4
err	出错消息	LOG_ERR	3
crit	重要消息	LOG_CRIT	2
alert	紧急消息	LOG_ALERT	1
emerg	最紧急消息	LOG_EMERG	0

不同的服务类型有不同的优先级，数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符，对应于这个优先级的消息以及所有更紧急的消息类型都将包括在内。比如说，如果某个选择条件里的优先级是“warning”，它实际上将把“warning”、 “err”、“crit”、“alert”和“emerg”都包括在内.

什么是Syslog?
顾名思义Syslog就是Sys Log - 系统日志。在RFC 3164中定义了syslog是一种日志协议，syslog数据包的大小为1024字节，包含Facility, Severity, Hostname, Timestamp和Message信息。syslog服务器默认使用UDP 514号端口。简单的说，syslog可以告诉管理员:谁（Facility)，什么时间(Timestamp)，什么地方(Hostname)做了什么事情(Message)，以及这个事情的重要性(Severity)。
Syslog中的Facility就是谁，它可以是操作系统的内核，邮件服务，Web服务器，打印机等等。RFC 3164 定义用数字来表示不同的Facility，其中16-18可为自定义的(比如Cisco就用local4发送PIX防火墙的syslog，用local7发送3000VPN集中器的syslog)，具体

为什么要Syslog化Windows的Event日志？
Windows有自己的日志协议，称为Event Log。日志查看器为Event Viewer （右键点击我的电脑，选择管理），界面如下。
有的朋友会问，好好的Windows日志为什么要把它转成Syslog呢？呵呵，当Windows服务器比较少的时候，我们是不需要这样做的。但试想如果你管理着成千上百台的Windows机器，你会一台一台的登录上去用Event Viewer查看吗？为什么不建立一台中心Syslog服务器来接受所有的Windows，Linux，网络设备等等发送来的日志呢？这样你可以轻松地在一台日志服务器上管理所有的日志。比如Splunk就是一个很好的免费日志服务器，它不仅可以接受多种方式发送来的日志(包括syslog)，而且还提供功能很强大的搜索（被称为Google for IT），图形化等功能。

阅读(11193) | 评论(0) | 转发(1) |

上一篇：Juniper设备设置syslog传送

下一篇：Linux下mysql root密码重置方法

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6