syslog日志服务器配置步骤

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）注:配置日志服务器前先检查是否已安装了SYSLOG服务执行 ps -e |grep syslogd 查看进程是否存在没有安装 # apt-get install syslogd 安装,或下载用安装包H3C交换机的设置举例1. 组网需求将系统的日志信息发送到 linux 日志主机；日志主机的IP 地址为 1.2.0.1/16；信息级别高于等于 informational 的日志信息将会发送到日志主机上；日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图3. 配置步骤(1) 设备上的配置。

# 开启信息中心。

<Sysname> system-view[Sysname] info-center enable# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。

可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

目录目录 (1)syslog 配置 (2)第一章类UNIX系统syslog配置 (2)一、syslog.conf文件配置说明 (2)二、Syslog 服务启停： (3)三、测试产生日志 (4)第二章Windows 平台syslog配置 (4)一、安装配置 (4)二、参数说明： (4)第三章网络设备syslog配置 (4)一、配置步骤 (4)二、检验结果 (5)syslog 配置第一章类UNIX系统syslog配置一、syslog.conf文件配置说明/etc/syslog.con f文件中的一项配置记录由“选项”(selector)和“动作”(action)两个部分组成，两者间用tab制表符进行分隔。

而“选项”又由一个或多个形如“类型.级别”格式的保留字段组合而成，各保留字段间用分号分隔。

保留字段中的“类型”代表信息产生的源头，可以是：kern 由kernel产生的信息；user 由用户进程产生的信息。

对那些由程序或不在此列出的工具产生的信息，其缺省类型都是“user”;mail 邮件系统产生的信息；daemon 系统守护进程的信息，如in.ftpd、telnetd；auth 由login, su, gett y等进行身份认证时产生的信息；s yslog 由s yslogd自己内部产生的信息；lpr 行打印spooling系统的信息；news USENET 网络新闻系统的信息；uucp UUCP系统信息；cron cron和at工具信息；local0-7 保留为local使用；mark syslogd内部产生的时间戳信息；* 除mark之外的所有其它类型（此符号不可用以代表所有级别）。

保留字段中的“级别”代表信息的重要性，可以是：emerg 紧急，处于Panic状态。

通常应广播到所有用户；alert 告警，当前状态必须立即进行纠正。

例如，系统数据库崩溃；crit 关键状态的警告。

例如，硬件故障；err 其它错误；warning 警告；notice 注意；非错误状态的报告，但应特别处理；info 通报信息；debug 调试程序时的信息；none 通常调试程序时用，指示带有none级别的类型产生的信息无需送出。

在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD下的syslog为例，介绍如何利用freebsd的syslogd来记录来自UNIX和windows的log信息。

一，记录UNIX类主机的log信息：首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。

在/etc/rc.conf中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中Freebsd对syslogd的默认设置参数是syslogd_flags="-s"，（可以在/etc/defaults/rc.conf中看到）默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。

如果是两个ss,即-ss，表示不打开任何UDP端口，只在本机用/dev/log设备来记录log.修改后的参数说明：-4 只监听IPv4端口，如果你的网络是IPv6协议，可以换成-6-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。

如果只希望syslogd接收来自某特定网段的log信息可以这样写：-a 192.168.1.0/24:*-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示仅接收来自该网段514端口的log信息，这也是freebsd的syslogd进程默认设置，也就是说freebsd 在接收来自其他主机的log信息的时候会判断对方发送信息的端口，如果对方不是用514端口发送的信息，那么freebsd的syslogd会拒绝接收信息。

syslog使用方法一、什么是syslogsyslog是一种系统日志记录协议，用于在计算机网络上发送、接收和存储系统日志消息。

它可以帮助系统管理员监控和分析系统运行状态，诊断和解决问题，以及进行安全审计。

syslog可以用于各种操作系统和设备，如Unix、Linux、Windows、路由器、交换机等。

二、syslog的基本原理syslog的基本原理是通过网络传输日志消息。

它由三个主要组件组成：发送方（syslog client）、接收方（syslog server）和日志消息（syslog message）。

1. 发送方（syslog client）：发送方负责收集系统日志消息并将其发送到接收方。

发送方可以是操作系统的日志服务，也可以是应用程序或设备的日志功能。

2. 接收方（syslog server）：接收方是用于接收和存储日志消息的服务器。

它通常由系统管理员设置并运行在网络中的一台服务器上。

接收方可以收集来自多个发送方的日志消息，并对其进行存储、过滤和分析。

3. 日志消息（syslog message）：日志消息是由发送方生成的系统日志。

它包含了记录的事件、时间戳、设备信息、日志级别等重要信息。

日志消息可以根据不同的设备和应用程序进行格式化。

三、syslog的配置和使用步骤1. 配置发送方（syslog client）：- 在发送方上找到并编辑syslog配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

- 添加或修改配置项以指定syslog服务器的IP地址和端口号。

例如：*.* @192.168.1.100:514。

- 保存配置文件并重启syslog服务，使配置生效。

2. 配置接收方（syslog server）：- 在接收方上安装syslog服务器软件，如rsyslog、syslog-ng 等。

- 打开syslog服务器的配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

freebsd-syslog配置日志服务器FreeBSD Syslog配置日志服务器日志服务器对于系统管理和故障排除来说至关重要。

通过配置FreeBSD服务器的Syslog服务，您可以集中存储和管理所有系统和应用程序的日志信息。

本文将引导您配置FreeBSD服务器作为日志服务器的步骤，并确保其良好的可读性和安全性。

1. 安装Syslog守护程序Syslog守护程序是一种能够接收、存储和转发系统日志信息的服务。

在FreeBSD上，我们可以使用syslog-ng或rsyslog等工具来实现这一功能。

在本例中，我们将使用rsyslog作为示例。

在终端中执行以下命令，安装并启动rsyslog服务：```$ pkg install rsyslog$ sysrc rsyslogd_enable="YES"$ service rsyslog start```2. 配置rsyslog接下来，我们需要配置rsyslog以充分满足我们的要求。

编辑rsyslog的配置文件`/usr/local/etc/rsyslog.conf`，并根据您的需求进行相应的更改。

a. 定义默认模板在配置文件的顶部，我们将定义默认的模板，以便日志消息以可读的格式呈现：```$templatePerHostLog,"/var/log/%HOSTNAME%/%$YEAR%/%$MONTH%/%$DA Y%.log"$template RemoteHostLog,"/var/log/remote/%FROMHOST-IP%/%$YEAR%/%$MONTH%/%$DAY%.log"$ActionFileDefaultTemplate PerHostLog$ActionFileDefaultTemplate RemoteHostLog```以上代码将日志消息按照主机名和日期存储在相应的目录中。

syslog与syslog服务器的配置服务器socketunix终端cronlinux1. 前言syslog是UNIX系统中提供的一种日志记录方法(RFC3164)，syslog本身是一个服务器，程序中凡是使用syslog记录的信息都会发送到该服务器，服务器根据配置决定此信息是否记录，是记录到磁盘文件还是其他地方，这样使系统内所有应用程序都能以统一的方式记录日志，为系统日志的统一审计提供了方便。

2. 日志格式syslog记录的日志格式为：月日时:分:秒主机名标志日志内容3. syslog编程为记录日志，通常用到3个函数，openlog(3)，syslog(3)和closelog(3)，openlog(3)和closelog(3)不是必须的，没有openlog(3)的话将用系统缺省的方式记录日志。

#include <syslog.h>void openlog( char *ident, int option, int facility)void syslog( int priority, char *format, ...)void closelog( void )openlog(3)有三个参数，第一个参数是标志字符串，也就是日志中的第5个字段，不设的话缺省取程序名称；第二个参数是选项，是下面一些标志位的组合：LOG_CONS：日志信息在写给日志服务器的同时打印到终端LOG_NDELAY：立即记录日志LOG_PERROR：把日志信息也输出到标准错误流LOG_PID：在标志字段中记录进程的PID值第三个参数是说明日志类型的，定义了以下类型：syslog(3)函数主要的是第一个参数priority，后面那些参数就是和printf(3)函数用法一样了，priority值表示该条日志的级别，日志级别分8级，由高到低的顺序为：如果openlog(3)时没有指定facility，是可以把facility的值或到priority中的，如(LOG_AUTH | LOG_INFO)，已经设置了就可以不用或了。

syslog日志服务器配置步骤一．作用Linux 系统的日志主要分为两种类型 :1. 进程所属日志：由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log 与 error_log 日志文件。

2. syslog 消息：系统syslog 记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。

Syslog程序就是用来记录这类日志的。

syslog是Linux的日志子系统，日志文件详细地记录了系统每天发生的各种各样的事件。

用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。

日志的两个比较重要的作用是：审核和监测。

配置syslog中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上，便于对集群中机器的管理与检查Linux系统所有的日志文件都在/var/log下，且必须有 root 权限才能察看。

日志文件其实是纯文本的文件，每一行表示一个消息,而且都由四个域的固定格式组成:1. 时间标签 (timestamp )，表示消息发出的日期和时间。

2. 主机名( hostname )，表示生成消息的计算机的名字。

如果只有一台计算机，主机名就可能没有必要了。

但是如果在网络环境中使用 syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。

3. 生成消息的子系统的名字。

可以是”kernel”，表示消息来自内核；或者是进程的名字，表示发出消息的程序的名字。

在方括号里的是进程的PID。

4. 消息( message )，剩下的部分就是消息的内容。

二．syslog配置文件syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

syslog守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放地点。

现在，我们先看看syslog.conf文件的配置行格式（这个文件里的每一个配置行都是同样的格式），然后再看一个完整的syslog配置文件。

windows 2012 配置syslog日志转发-回复Windows 2012 配置Syslog 日志转发在企业网络环境中，监控和管理日志信息是维护网络安全和故障排除非常重要的一环。

Syslog 是一种标准，用于在计算机网络中收集和传输日志消息。

本文将介绍如何配置Windows Server 2012 来转发Syslog 日志消息到中央日志服务器。

步骤一：安装与配置Syslog 服务器1. 首先，我们需要选择一台Windows Server 2012 作为Syslog 服务器。

请确保该服务器已经安装了最新的Windows 更新和安全补丁。

2. 打开PowerShell 控制台，并使用管理员权限运行。

3. 使用以下命令来安装Syslog 服务器功能：powershellInstall-WindowsFeature -Name"SNMP-Service","SNMP-WMI-Provider","RSAT-SNMP"4. 安装完成后，使用以下命令打开Windows 防火墙的Syslog UDP 端口：powershellnetsh advfirewall firewall add rule name="Syslog UDP 514" dir=in action=allow protocol=UDP localport=5145. 接下来，我们需要编辑注册表来启用Windows Server 2012 上的Syslog 功能。

运行以下命令以启用Syslog 注册表项：powershellSet-ItemProperty -Path'HKLM:\SYSTEM\CurrentControlSet\Services\Eventlog\System'-Name 'EnableSyslog' -Value '1'Set-ItemProperty -Path'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability' -Name 'EnableSyslog' -Value '1'6. 最后，我们需要重启系统以使更改生效：powershellRestart-Computer步骤二：配置Windows Server 2012 的Syslog 转发1. 打开Windows Server 2012，打开“事件查看器”（Event Viewer）。

windows 2012 配置syslog日志转发-回复如何在Windows Server 2012上配置syslog日志转发？在Windows Server 2012上配置syslog日志转发是一项重要的任务，它允许管理员将日志信息从一个设备传输到另一个设备，以便集中存储和分析。

本文将向您提供一步一步的指南来完成该任务。

步骤1. 安装Syslog服务器首先，您需要安装一个Syslog服务器软件。

有很多免费和商业的Syslog 服务器软件可供选择，如SolarWinds Log & Event Manager、Kiwi Syslog Server等。

您可以根据您的需求和预算选择合适的软件。

步骤2. 确定Syslog服务器的IP地址在配置日志转发之前，您需要确定Syslog服务器的IP地址。

打开Syslog 服务器软件，并找到服务器的IP地址。

将其记录下来，以便在后续步骤中使用。

步骤3. 配置Windows Server 2012日志现在，您需要配置Windows Server 2012以将日志发送到Syslog服务器。

以下是配置步骤：1. 打开“事件查看器”，通过点击“开始”按钮，输入“事件查看器”并点击相应的结果来打开它。

2. 在事件查看器中，导航到“Windows 日志”> “应用程序”。

3. 在右侧窗口中，右键单击“应用程序”日志，并选择“属性”。

4. 在“属性”对话框中，选择“事件转发”选项卡，并选中“启用远程连接的该计算机上的此事件日志”复选框。

5. 单击“添加”按钮，并添加Syslog服务器的IP地址。

如果有多个Syslog 服务器，您可以添加多个IP地址。

6. 单击“确定”按钮关闭对话框。

步骤4. 测试和验证配置完成以上步骤后，您可以通过测试和验证配置的方式来确保syslog日志传输顺利完成。

以下是一些建议的测试和验证方法：1. 在Windows Server 2012上触发一个事件，例如创建一个新的用户帐户或者重启服务器。

windows 2012 配置syslog日志转发-回复Windows Server 2012是微软推出的一款服务器操作系统，具有强大的功能和稳定的性能。

在Windows Server 2012中，我们可以配置syslog 日志转发来收集和分析系统的日志信息。

本文将一步一步地介绍如何在Windows Server 2012上配置syslog日志转发。

首先，我们需要了解一些基础知识。

syslog是一个用于收集、传输和存储系统日志的标准协议。

它可以帮助我们集中管理所有设备的日志信息，并进行更加高效和方便的日志分析。

在Windows系统中，我们需要借助一些额外的工具来实现syslog日志转发。

步骤一：安装syslog服务在Windows Server 2012上，我们可以选择安装第三方的syslog服务来实现日志转发。

有很多可选的工具，比如Kiwi Syslog Server、syslog-ng 等。

在本文中，我们将以Kiwi Syslog Server为例进行演示。

首先，下载并安装Kiwi Syslog Server软件。

你可以通过搜索引擎找到官方网站并下载合适的版本。

在安装过程中，按照提示进行设置和配置，选择需要安装的组件和安装路径。

步骤二：配置syslog服务安装完成后，打开Kiwi Syslog Server软件。

首次运行时，你需要进行一些基本设置和配置。

1. 在“Setup Wizard”向导中，选择“Syslog Daemon”并点击“Next”按钮。

2. 在“Syslog Daemon Configuration”页面，选择“Receiver”模式，并点击“Next”按钮。

3. 在“Syslog Listener Ports”页面，选择需要监听的端口。

默认情况下，syslog使用的端口是514。

你可以选择使用默认端口或者自定义端口。

点击“Next”按钮继续。

4. 在“Syslog SSL/TLS Configuration”页面，如果你需要使用加密传输日志，可以选择相应的选项进行配置。

windows 2012 配置syslog日志转发-回复Windows Server 2012配置Syslog日志转发在Windows Server 2012中，配置Syslog日志转发是一个非常有用的功能，因为它允许我们集中收集和管理各种设备的日志信息。

Syslog是一种标准的网络日志协议，它允许设备将日志消息发送到指定的Syslog服务器，从而实现集中化的日志管理。

在本文中，我们将逐步介绍如何在Windows Server 2012中配置Syslog日志转发。

第一步：安装和配置Syslog服务器在Windows Server 2012中，我们可以使用诸如Kiwi Syslog Server或SolarWinds等第三方工具来设置Syslog服务器。

在本示例中，我们将使用Kiwi Syslog Server作为我们的Syslog服务器。

1. 首先，我们需要下载并安装Kiwi Syslog Server。

我们可以从SolarWinds官方网站上获得它。

2. 安装完成后，打开Kiwi Syslog Server。

在启动向导中，选择希望将Syslog消息接收到的UDP端口号。

默认端口号是514，但您可以根据需要进行更改。

3. 接下来，选择存储Syslog消息的位置。

您可以选择将消息保存在本地磁盘上的文件中，或将其存储在数据库中以进行更高级的查询和分析。

4. 完成向导后，Kiwi Syslog Server将开始接收和存储Syslog消息。

第二步：配置Windows Server 2012以将日志转发到Syslog服务器接下来，我们将配置Windows Server 2012以将其日志转发到刚刚设置的Kiwi Syslog Server。

1. 打开Windows Server 2012上的“事件查看器”应用程序。

您可以在“管理工具”文件夹中找到它。

2. 在“事件查看器”中，右键单击“Windows 日志”>“系统”。

syslogserverconfigif的方法概述在计算机网络中，sy s lo g是一种系统日志记录机制，用于收集和存储系统的运行信息。

sy s lo g服务器是一台可以接收和处理来自各个网络设备发送的sy sl og消息的服务器。

本文将介绍sy sl og se rv erc o nf ig if的方法，以帮助读者配置sy sl og服务器。

步骤1：安装syslo g服务器软件在配置s ys lo g服务器之前，首先需要安装相应的sy sl og服务器软件。

常见的s ys lo g服务器软件包括r sy sl og、sy sl og-n g等。

下面以r s ys lo g为例，介绍安装过程：1.打开终端或控制台窗口。

2.输入以下命令安装r sy sl og软件：```s u do ap t-ge ti ns tal l rs ys lo g```3.等待安装过程完成。

步骤2：配置syslo g服务器安装完成后，需要对s ys lo g服务器进行配置，以便接收和处理s y sl og消息。

以下是配置s ys lo g服务器的步骤：1.打开rs ys l o g配置文件，路径为`/et c/r sy sl og.c on f`。

2.根据实际需求，编辑配置文件。

可以指定sy sl og服务器的监听端口、接收消息的规则等。

以下是一些常见配置选项的示例：-设置监听端口为514：```$M od Lo ad im ud p$U DP Se rv er Ru n514```-编写过滤规则，将特定设备的s ys lo g消息保存到指定文件中：```i f$f ro mh os t-ip=='192.168.1.1't hen/va r/lo g/de vi ce1.lo g```3.保存配置文件并关闭。

步骤3：重启syslo g服务器完成配置后，需要重启s ys lo g服务器以使配置生效。

在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD下的syslog为例，介绍如何利用freebsd的syslogd来记录来自UNIX和windows的log信息。

一，记录UNIX类主机的log信息：首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。

在/etc/rc.conf中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中Freebsd对syslogd的默认设置参数是syslogd_flags="-s"，（可以在/etc/defaults/rc.conf中看到）默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。

如果是两个ss,即-ss，表示不打开任何UDP端口，只在本机用/dev/log设备来记录log.修改后的参数说明：-4 只监听IPv4端口，如果你的网络是IPv6协议，可以换成-6-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。

如果只希望syslogd接收来自某特定网段的log信息可以这样写：-a 192.168.1.0/24:*-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示仅接收来自该网段514端口的log信息，这也是freebsd的syslogd进程默认设置，也就是说freebsd 在接收来自其他主机的log信息的时候会判断对方发送信息的端口，如果对方不是用514端口发送的信息，那么freebsd的syslogd会拒绝接收信息。

1.安装系统a)安装要求i.PC配置：CPU：Intel P E2160（1.8GHz）以上内存：1G以上硬盘：80G以上虚拟机要求：Kernel：linux 2.6内存：512以上硬盘：40G以上b)安装系统i.Linux syslog server要求用centos 5.5下载地址：ed2k://|file|[《CentOS.5.5.》32bit[光盘镜像]].CentOS-5.5-i386-bin-DVD.iso|4185118720|a1ce64b6d36d945f562cb1250d8d665f|h=fnfai2pqdbdxmz5i5wshkaj22ttscbkg|/c)配置网络i.点击桌面上方的系统→管理→网络，配置eth0和DNSwork Abapter修改为桥接模式2.安装工具a)安装GCC和make[root@FDWIN ~]# yum install gcc makeb)安装LAMP平台[root@FDWIN ~]# yum install php-mysql mysql mysql-server php-snmp php-pdoperl-DBDMySQL httpd php –y[root@FDWIN ~]# service mysqld start[root@FDWIN ~]# chkconfig mysqld on[root@FDWIN ~]#service httpd start[root@FDWIN ~]#chkconfig httpd on[root@FDWIN ~]# mysqladmin -uroot password '000000'[root@FDWIN ~]#vim /var/www/html/index.php添加：<?php$link=mysql_connect("localhost","root","000000");if(!$link) echo "FAILD!";else echo "OK!";?>然后网页访问下出现OK说明没问题了。

cisco设备上启用日志及syslog服务器配置cisco设备上启用日志及syslog服务器配置使用syslog记录Cisco设备日志以下配置描述了如何将Cisco设备的日志发往syslog服务器device#conf tdevice(config)#logging ondevice(config)#logging a.b.c.d //日志服务器的IP地址device(config)#logging facility local1//facility标识, RFC3164 规定的本地设备标识为local0 - local7 device(config)#logging trap errors //日志记录级别，可用"?"查看详细内容device(config)#logging source-interface e0 //日志发出用的源IP地址device(config)#service timestamps log datetime localtime//日志记录的时间戳设置，可根据需要具体配置检验device#sh logging个人实验配置实验环境:syslog服务器:winxp (kiwi syslog) or linuxas4 (syslog) ipaddr:192.168.1.1router:cisco3640(dynamips 模拟)router(3640)配置:r1(config)#logging on#打开日志服务r1(config)#logging host 192.168.1.1#定义日志服务器地址r1(config)#service timestamps debug datetime localtime show-timezone msecr1(config)#service timestamps log datetime localtime show-timezone msec #以上2行定义时间戮r1(config)#logging facility local7#定义facility级别,默认为7r1(config)#logging trap 7#定义severity级别,(0-7),如7则=0-7全部启用syslog(windows kiwisyslog)配置kiwi syslog版本为8.2.8,因是免费版本故不支持多台设备分别记录.安装后既可,基本不用配置. syslog(linuxas4 syslog)配置明天做,缓缓网上资料配置vi /etc/sysconfig/syslog把SYSLOGD_OPTIONS="-m 0"修改为SYSLOGD_OPTIONS="-r -m 0" //-r 从远端主机写入-m 0 sables 'MARK' messagesvi /etc/syslog.conf加入下列内容把设备号为local4(PIX的默认设备号)的所有的日志记录到/var/log/router.log中#Save pix messages all to router.loglocal4.* /var/log/router.log把设备号为local5(在S8016中用info-center loghost host-ip-addr facility local-number指定)的所有的日志记录到/var/log/router.log中#Save S8016 messages all to S8016.loglocal5.* /var/log/S8016.log生成空的日志文件touch /var/log/router.logtouch /var/log/S8016.log然后重启syslog,就ok了/etc/rc.d/init.d/syslog restart别忘了设置防火墙规则,仅允许你的设备发送到udp/514(默认的UDP端口为514,默认的tcp端口为146为了避免日志过大,配置日志轮循(man logrotate 查看详细的帮助信息)vi /etc/logrotate.conf增加下列内容# system-specific logs may be also be configured here./var/log/router.log (rotate 2}/var/log/S8016.log {weekly //每周轮循rotate 4 //轮循4次}配置crontab进行日志备份,如按照日期进行备份.如网络设备很多,可把同类的设备配置为相同的设备号例:more switch.log | grep X.X.X.X //查看某一设备的日志审核和记录系统的事件是非常重要的。

kiwi syslog server是一款功能强大的开源系统日志工具，使用方法如下：
1. 安装：登录日志服务器运行Kiwi_Syslogd_8.3.7.setup.exe，弹出安装界面，点击“I agree”同意进行安装。

选择安装模式为“Install Kiwi Syslog Server as a service”并单击“next”继续安装。

选择安装的用户，本地系统账户或一个单独的管理员账户，此处为直接选择本地账户。

选择安装组件，此处保持默认状态单击下一步继续安装。

选择软件安装路径，此处保持默认即可，单击“Install”进行安装。

2. 配置：kiwi syslog server的配置主要包括设置日志接收规则、过滤器、执行动作等。

具体配置方法可以参考官方文档或者教程。

3. 运行：安装完成后，kiwi syslog server会作为系统的一项服务启动，即使关闭kiwi syslog的界面窗口，仍可以在后台工作。

以上是kiwi syslog server的基本使用方法，具体使用细节和高级功能可以参考官方文档或者教程。