Windows系统日志自动转发syslog

windows系统生成syslog报文

Windows系统日志的格式不相同,因此保存系统日志时,需要统一日志的格式并上传到SYSLOG服务器.

根据操作系统的位数,划分32和64位.相应的日志上传工具也分为两个版本.

Evtsys_4.1.0_32-Bit 6 Evtsys_4.1.0_64-Bit

下载对应的软件压缩包后解压

1.将其中的evtsys.dll和evtsys.exe文件一起复制到C:/windows/system32

2.以管理员身份运行CMD(命令提示符)

3.执行：evtsys –i –h 172.18.

4.105(syslog服务器地址) –p 1514

(PS:本机已经启动了evtsys服务，未开启服务的机器执行上面的命令即可) 4.服务启动后，便可以在SYSLOG服务器上查看到相应的系统信息命令解释：

1.启动服务：net start evtsys

2.停止服务：net stop evtsys

3.关联SYSLOG服务器：evtsys -i -h ip

-i 表示安装成系统服务

-h 表示指定log服务器的IP地址

4.卸载服务：evtsys –u evtsys（需要先将evtsys服务停止）