Kiwi-Syslog日志服务器搭建

kiwi syslog server是一款功能强大的开源系统日志工具，使用方法如下：
1. 安装：登录日志服务器运行Kiwi_Syslogd_8.3.7.setup.exe，弹出安装界面，点击“I agree”同意进行安装。

选择安装模式为“Install Kiwi Syslog Server as a service”并单击“next”继续安装。

选择安装的用户，本地系统账户或一个单独的管理员账户，此处为直接选择本地账户。

选择安装组件，此处保持默认状态单击下一步继续安装。

选择软件安装路径，此处保持默认即可，单击“Install”进行安装。

2. 配置：kiwi syslog server的配置主要包括设置日志接收规则、过滤器、执行动作等。

具体配置方法可以参考官方文档或者教程。

3. 运行：安装完成后，kiwi syslog server会作为系统的一项服务启动，即使关闭kiwi syslog的界面窗口，仍可以在后台工作。

以上是kiwi syslog server的基本使用方法，具体使用细节和高级功能可以参考官方文档或者教程。

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

Syslog服务器的设置
首先在一个PC上安装syslog软件。

目前syslog软件可以运行在Windows、Linux和Unix 上，请随便做一个syslog服务器。

我们推荐一个运行在Windows平台上的syslog服务器软件，kiwi-syslog。

请到下面的站点下载：
然后在防火墙上作如下设置：
Kiwi_SysLog服务器日志设置
使用Kiwi_SysLog软件可以把日志进行分类存储，如按照日志的时间进行存储。

具体的设置方法如下：
日期：yyyy-mm-dd 时间：hour
具体的设置请看“Insert AutoSplit value”
●如上图的设置，日志的记录将会是这样的：
其中D:\Logs\2004-03-14\表示每天的日志，在每天的日志中，LOG_15表示下午三点的记录，LOG_16表示下午四点的记录，依此类推。

这样就可以分别记录。

●如果要对日志进行查询、排序等工作，需要用到微软的Access数据库进行处理。

具体的操作是“文件”→“新建”→“空数据库”→“文件”→“获取外部数据”→“导入”→然后选择日志文件→选择“带分隔符”→选择“分号”→“完成”。

KIWISyslog配置默认地，kiwi使⽤UDP 514端⼝接收⽇志数据，安装成功后即可接收⽇志使⽤命令netstat –ano查看服务器监听状态，如果服务没起来，则重新启动服务Kiwi Syslog Daemon任务：把当天的⽇志保存在G:\event，历史⽇志保存在G:\eventold，⾃动删除1⼀个⽉前的⽇志记录第⼀步：新建规则CiscoRouter1.新建Filters IP:收集来⾃192.168.0.1的⽇志2.新建Action Display01：收集的数据显⽰在软件的第⼀个屏幕（00-09）3.新建Action Log to file：设置⽇志保存路径G:\event如果启⽤Enable Log File Rotaion,设置Maximum log file 1 Day(s)则每天保存⼀个当天的⽇志，并且命名格式为Cisco.txt.001，Cisco.txt.002，如此类推保存每天的⽇志这⾥我们不进⾏设置第⼆步：设置保存每天⽇志、删除1个⽉前旧⽇志的计划安排1.新建计划Save File，频率设置为每天⼀次，其他默认设置备份⽇志的源路径G:\eventDestination每天将源路径⽂件移动到⽬标⽂件夹G:\eventold，并且新建以当天⽇期命名的⽂件夹,这样源路径就只保存有当天的⽇志Archive Options可以把移动的⽂件进⾏压缩设置，或者触发⼀个程序的运⾏，这⾥我们不设置Archive Notifications如果软件email选项设置了邮件帐号，还可以通过该设置，把每天的报告发给指定的邮箱2.新建计划Clean UpSource需要删除⼀个⽉前的⽇志⽂件G:\eventoldCisco Logging配置logging onlogging host 192.168.0.xlogging facility local7 将记录事件类型定义为local7logging trap warning 将记录事件严重级别定义为从warningl开始，⼀直到最紧急级别的事件全部记录到前边指定的syslog server. logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址service timestamps log datetime 发送记录事件的时候包含时间标记到此配置完毕Window Logging 配置解压后是两个⽂件evtsys.dll和evtsys.exe ，把这两个⽂件拷贝到 c:\windows\system32⽬录下。

日志服务器搭建文档syslog详解1.syslog简介Syslog系统日志，记录linux系统启动以及运行的过程中产生的信息，rhel5.x系统默认自带了syslog，其配置文件是/etc/syslog.conf（rhel6.x的配置文件为/etc/rsyslog.conf）Syslog有两个进程：klogd和syslogdklogd：记录内核生成的日志syslogd：记录内核意外的信息2.syslog配置文件详解配置文件的定义格式为：factility.priority action（即设备.优先级动作）2.1factility可以理解为日志来源，常用的factility有以下几种：auth#有pam_pwdb报告认证活动authpriv#包括特权信息如用户名在内的认证活动cron#cron和at有关的计划任务daemon#与initd守护进程有关的后台进程kernel#内核消息队列lpr#打印机mark#syslog内部日志时间user#由用户程序生成的信息syslog#有syslog生成的信息uucp#由uucp生成的信息local0-local7#自定义程序使用2.2level级别emerg#紧急alert#警报cirt#关键errror#错误warning#警告notice#通知info#信息debug#调试2.3action(动作)日志记录位置系统上的绝对路径#如：/var/log/xxxx终端#如：/dev/console@host#远程主机，如：@172.16.133.185*#登陆到系统中的所有用户2.4rhel5.x系统上自带配置文件/etc/syslog.conf的分析*.info;mail.none;authpriv.none;cron.none/var/log/messages #表示将所有日志为info级别的，但是不包括mail，authpriv,crond相关信息，记录到/var/log/messages中authpriv.*/var/log/secure #表示将权限相关的信息记录到/var/log/secure1.mail.*-/var/log/maillog #将mail相关的信息异步写到磁盘/var/log/maillog2.5配置syslog日志服务器2.5.1服务器端设置vi/etc/sysconfig/syslog将sysLOGD_OPTIONS修改为：sysLOGD_OPTIONS=“-r–m0”#-r表示接受远程日志重启syslog服务,/etc/init.d/syslog restart(rhel6.x启动方式为/etc/init.d/rsyslog restart）2.5.2client端设置在/etc/syslog.conf中添加一条，如下：*.info;authpriv.*@172.16.133.185此时的日志服务器记录的信息为/var/log/messages,/var/log/secure。

linuxsyslog⽇志服务器的搭建⾸先我们知道⽇志是什么,⽇志毫⽆疑问就跟我们写⽇记⼀样记录我们每天做的⼀些事情,那么⽇志对于⼀台服务器⽽⾔是⾄关重要的,⽐如说我们搭建服务的时候,服务起不来也没提⽰错误信息,那么这个时候就可以查看⽇志来排错了,还记录了服务器的运⾏情况已经⼊侵记录等等... ,那么我们知道⼀台服务器的⽇志默认是存放在本地的对于linux⽽⾔⽇志⼀般存放于/var/log/⽬录下,⽐如说某系统管理员管理着⼏⼗甚⾄上百台服务器的时候,默认⽇志放在每台服务器的本地,当我们每天要去看⽇志的时候⼀台⼀台的看⽇志是不是要郁闷死了. 没关系在linux系统上提供了⼀个syslogd这样的⼀个服务为我们提供⽇志服务器,他可以将多台主机和⽹络设备等等的⽇志存到⽇志服务器上,这样就⼤⼤减少了管理员的⼯作量,下⾯将在⼀台默认装有rhel5.x的系统上搭建⼀台⽇志服务器.～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～系统环境：默认安装有rhel5.8的系统主机⾓⾊ IP地址server1 ⽇志服务器 10.0.0.1server2 10.0.0.2～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～实际上⽇志服务器的配置⾮常之简单⼏条命令就搞定了⼀.配置⽇志服务器为⽹络中其他主机及其⽹络设备等等提供⽇志存储服务,也就是配置server11. 在server1上编辑/etc/sysconfig/syslog⽂件修改如下#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS这项,如下SYSLOGD_OPTIONS="-m 0 -r"2 .重新启动syslog#service syslog restart3.配置防⽕墙,syslog传送⽇志的端⼝是UDP的514端⼝防⽕墙在默认的情况下是阻⽌所有的,这⾥就直接把防⽕墙关闭了,防⽕墙的配置就不介绍了#service iptables stop#chkconfig iptables offok！到这⾥服务器的配置基本就结束了.⼆.配置server2让其将⽇志发送到⽇志服务器上去,我们知道windows跟交换机路由器都是有⽇志产⽣的,它们的⽇志也是可以存储到⽇志服务器上去的,这⾥就只介绍linux主机的1.配置server2上的/etc/syslog.conf定义⽇志的类型以及⽇志的级别和⽇志存放的位置,这⾥就只简单的介绍下⼤体的配置思路,#vim /etc/syslog.conf*.* @10.0.0.1上⾯的配置表⽰所有的⽇志类型.所有的⽇志的级别的⽇志都将存放在10.0.0.1这台⽇志服务器上2,重启syslog#service syslog restart三.验证1.在server2上建⼀个redhat的⽤户,然后到server1上的/var/log/secure⽂件或者/var/log/messages⽂件查看⽇志#cat /var/log/secureJun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash可以看到10.0.0.2这台主机new了⼀个redhat的⽤户。

KIWISYSLOG日志服务器说明1、IP地址：192.168.102.11用户名：administrator密码：Wlzx5952577.日志服务启动：在服务中，启动Kiwi Syslog Server即可2、日志服务器日志可分三种查询方式：1）数据库查询：SELECT [MsgDate],[MsgTime],[MsgPriority] ,[MsgHostname],[MsgText] FROM [syslog].[dbo].[Syslogd]数据库账号：sa 密码：Wlzx25772）Kiwi Syslog Server Console 控制台查看方式：双击桌面Kiwi Syslog Server Console可查看3）Kiwi Syslog Web Access：web页面方式访问地址：本地查看：http://localhost:8088/远程访问：http://192.168.101.11:8088/用户名：administrator密码：Wlzx25773、日志服务器日志保留时间：数据库保留30天（可修改，是在数据库中新建了一个作业）控制台30天循环（可修改，在控制台菜单中的"run"中Log to file 中设置）4、日志服务器日志存放路径：控制台方式的日志在：E:\Syslogd\Logs\数据库在：E:\MSData5、交换机终端配置命令：DCRS-5512GC交换机的管理VLAN的IP地址为100.100.100.1，远端日志主机的IP地址为100.100.100.5。

需要能够将模块shell和系统事件的所有日志信息输出到远端日志主机的local1中，将模块shell 严重等级为warning及critical的日志信息输出到日志缓冲区中。

配置步骤如下：Switch#logging onSwitch#logging 100.100.100.5 facility local7Switch#logging source m_shell channel loghost level debugging state onSwitch#logging source sys_event channel loghost level debugging state on#Switch#logging logbuffed 1000Switch#logging source m_shell channel logbuff level warning state on其他的型号：如4500可能还需要执行的命令：打开或关闭记录用户执行命令的日志开关：logging executed-commands {enable|disable}显示记录用户执行命令的日志开关状态：show ogging executed-commands state。

Kiwi Syslogd使用中文说明1安装软件与正常软件安装过程一样，安装时选择安装成服务器日志软件。

2破解软件压缩包中的文件夹“crack”中的“Server”里面的文件复制到Kiwi Syslogd 软件的安装目录，覆盖其文件，重新打开软件，即已破解软件。

3安装插件evtsys因为该软件支持linux操作系统，如果不装evtsys.exe，无法在windows下显示日记的记录。

具体操作过程请看压缩包下的“evtsys启动DOS 命令.txt”4Kiwi Syslogd 的具体操作5.1Kiwi Syslogd主窗口软件的启动和停止在菜单栏“Manage”中操作，如果没有停止软件运行，即使界面被关闭，软件仍然在后台运行，如下图所示。

5.2 软件的日志记录功能设置打开菜单“File”中的“setup”窗口，截图如下所示。

菜单的主要设置在“Rules”里面，一般默认情况下，软件记录所有日志，可以通过设置让其记录指定的服务器。

将鼠标放在左边随便一个菜单，右击可以看到其右击菜单，包括重命名，增加，删除等，截图如下。

我们设置每个rule 来记录和现实一台服务器的日志监听。

在“Files”菜单中新增一个“New Files”，命名由自己定，这里主要是举例子。

在窗口的右上角“Field”边下拉选择“IP Address”，通过制定IP 来设定日志的监听和记录，截图如下所示。

选择要显示的窗口，在“Display”中选择。

接着是把日志文件存放。

点击“Logto file”，选择命名方式和存放路径，即可，如下图所示命名规则可以自己设定，增加时间或者Hostnam等待，点击上图中的红框即可增加。

注：如果要实现存储文件的循环利用，怎么存储文件的命名要固定，即不要增加规则！勾选“Enable Log File Rotation”，实现文件的循环利用，根据需要设置循环规则，一下图示仅举例子。

制定其他服务器，只有复制下“Rules”，然后粘贴即可，修改命名和里面的规则。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

日志服务器搭建搭建日志服务器的步骤：⒈确定需求⑴分析项目需求和数据规模⑵确定日志存储周期和数据保留策略⒉选择合适的日志服务器软件⑴根据需求选择合适的日志服务器软件⑵进行软件评估和比较⒊硬件需求⑴确定服务器硬件要求（如CPU、内存、存储等）⑵确定网络需求（如带宽、网络拓扑等）⒋安装操作系统⑴安装服务器操作系统⑵配置网络设置⒌安装日志服务器软件⑴并解压日志服务器软件包⑵配置日志服务器软件参数⑶启动日志服务器⒍配置日志收集⑴配置客户端日志⑵配置日志收集规则⑶测试日志收集⒎数据存储和备份⑴确定日志数据存储方式（例如数据库、文件系统）⑵配置数据备份策略⑶定期检查数据完整性和备份恢复能力⒏日志查询和分析⑴学习日志查询和分析技巧⑵配置日志查询和分析工具⑶分析日志数据⒐安全性和权限控制⑴设定访问权限⑵配置防火墙和安全加固⑶定期更新和升级日志服务器软件⒑监控和性能优化⑴配置监控工具和告警系统⑵定期检查服务器性能和日志服务器负载状况⑶进行性能优化和调整1⒈安全注意事项和最佳实践1⑴保护服务器，加强登录认证和访问控制1⑵定期更新系统和软件，修补安全漏洞1⑶加密和保护敏感数据1⒉维护和故障处理1⑴制定日志服务器维护计划1⑵备份和恢复日志服务器配置1⑶处理日志服务器故障和问题附件：附件一：日志服务器搭建配置参数表附件二：日志收集规则示例法律名词及注释：⒈涉及的法律名词及注释1⒉涉及的法律名词及注释2⒊涉及的法律名词及注释3。

Syslog介绍Kiwi Syslog Server⼊门⼀、安装⼯作模式：第⼀个是安装成服务，开机⽆需登录操作系统就可以⼯作。

第⼆个是安装成应⽤程序，需要⽤户登录操作系统后⼿动打开。

我们选第⼀个。

服务使⽤的账户：第⼀个是我们已经登录的⽤户。

第⼆个是添加⼀个新的。

我们选第⼀个。

安装Web Access:⼀个Web浏览的界⾯，可以选择安装或者不安装，不影响功能。

我们不安装。

我们安装的是试⽤版，试⽤版也不影响主要功能。

⼆、使⽤2.1 配置规则从File菜单->Setup⼦菜单打开配置窗⼝。

默认的Rules下⾯只有⼀个Default规则，规则名字“Default”是可以修改的。

规则有两个选项需要配置，Filters（过滤器）和Actions（动作）。

满⾜所有过滤（filter）条件的⽇志，要依次执⾏动作（Action）。

过滤是求交集，动作类似管道。

默认的Default规则过滤器列表是空的，那么它就接收所有的⽇志。

动作有两个，Display （显⽰）和Log To File（记录到⽂件）。

我们可以添加⾃⼰的规则，右键“Rules”，点击“Add Rule”，添加⼀个。

可以修改名称。

新建规则的Filters和Actions是空，即接收所有⽇志，不做任何动作，显然这样的规则没有意义。

我们可以添加多个规则，每个规则添加不同的过滤器，过滤不同的⽇志，再对这些⽇志进⾏不同动作。

后⾯我们介绍Fileter和Action就在这个新建的规则上⾯实验。

2.2 添加Filter（过滤器）右键New Rule下⾯的Filters，点击“Add filter”。

Filter的种类有很多种，这⾥介绍Message text（消息⽂本），其余可以参照⽂档⾃⼰尝试。

Message text：过滤指定的字符串。

Include下⾯的编辑框输⼊字符串“test”。

那么当⽇志中有”test”的就会执⾏对应的Actions。

2.3 添加Action（动作）右键Actions，点击“Add action”。

第一部分：kiwi syslogd安装与配置软件介绍：这款软件是solarwinds 太阳风公司旗下的一款软件，该公司做了很多系列网络监控的软件，软件评价很好也，能实现贵单位想要实现的功能，费用大概要200—300 美元。

国内这方面的软件也有，大部分都是付费的。

）1、安装方法：下一步：选择路径安装完成您可以选择破解也可以不破解，反正卸载重装又可以用30天。

2、Kiwi syslog配置方法：（File->setup）上图中from ip address 填写交换机ip地址。

再在交换机上配置日志服务器。

运行后界面：第二部分：配置导入sql数据库该软件可以自动把日志文件导入SQL 数据库，我也实现了，实现如下图：配置方法如下：进入这个界面：点击图中rule -> actions在action上右键add action 出现下图：先在SQL sever 中建立一个Syslogd 的数据库。

然后点下图中的 “ … “ 按钮图中用户名和密码是登陆SQL用的，Syslogd是在SQL中已经建好的数据库，然后测试连接，回到主界面Data link 就设置好了。

点上图所示ODBC control panel点添加要输用户名和密码接下去都是默认的。

然后测试成功就可以了。

点下图数据库类型（Database type）-> Kiwi SQL format ISO yyyy-mm-dd然后就点建表（create table ）测试（test）操作成功就可以了查表（Query table）可以查到数据库中最近的5条消息。

Syslog的搭建和技巧现在的各种各样的设备：服务器、办公设备、网络设备等均支持SNMP协议，但在大部分酒店中，一般是不会单独部署HP Openview这样的专业网管软件的，一般都依靠设备自身附带的管理软件来实现，这样就会出现SNMP信息集中收集、管理的难题。

而且有些设备在冷启动后log会自动清空，不利于查询历史log。

Syslog软件是一种很好的统一收集SNMP信息的软件，在一般的网络环境中，能起到很好的辅助作用。

这里以kiwi syslog 软件为例，讲几个使用中的技巧。

（安装过程及详细配置这里就不讲了，网上可以找到很多）1、该软件有2种工作模式：基于服务模式和基于程序模式，2者的区别是基于服务的模式在OS中是作为系统的一项服务启动的，即使关闭kiwi syslog的界面窗口，仍可以在后台工作；而基于程序的模式当关闭界面窗口后也会停止运行。

故安装时建议选择第一种模式。

2、大家经常会忽略网管工作站的相关SNMP设置项，正确的设置应该首先启动SNMP Service和SNMP Trap Service两个服务，并对SNMP Service属性选项卡中的陷阱和安全进行设置。

安全选项卡中设置SNMP数据的账户名和读写权限，一般设备默认的都是”public”，如果设备的设置中进行了修改，这里也应该予以相应添加。

陷阱选项卡的设置是首先设立一个团体名，然后指定陷阱地址就可以了。

如下图所示：3、kiwi syslog软件收集的SNMP数据默认的保存方式是：以日期时间为序，在一个文件中保存所有设备的日志，每小时生成一个文件。

这样的保存方式是很不利于查询各设备的log信息的，所以在比较新的版本中增加了以设备IP地址分开保存的方式，但软件上的设置选项并未明确提示，所以一般很容易忽略掉。

应在log to files的选项卡中的保存路径和文件名选项中手工键入：\sys%IPAdd4.txt。

具体配置信息参见下图：山西相府庄园酒店赵永强。

kiwi syslog日志服务器搭建1、安装kiwi syslog2、在windows服务器上安装evtsys_exe_64用于将windows日志转换，传送到kiwi syslog解压后，将evtsys.dll和evtsys.exe复制到system32下。

evtsys命令Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]-i Install service (安装服务)-u Uninstall service (卸载服务)-d Debug: run as console program (以debug模式运行)-h host Name of log host (日志服务器IP地址)-p port Port number of syslogd (日志服务器端口，默认是514)-q char Quote messages with character3、执行以下命令，将evtsys安装为服务：evtsys -i -h 192.168.54.64、启动evtsys服务net start evtsys5、打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转换成syslogd 可识别的格式,通过UDP 3072端口发送给syslogd服务器。

OK,所有的配置windows端配置完成.6、如果要卸载evtsys,则：net stop evtsysevtsys -u7、SUSE LINUX配置syslog-ng客户端vi /etc/syslog-ng/syslog-ng.conf在最后一行添加以下内容：destination d_udp { udp("192.168.54.6" port(514)); };log { source(src); destination(d_udp); };启动syslog服务service syslog start8、设置日志存储位置与存放格式，存放格式为：SyslogYYYY-MM-DD xxxx.xxxx.xxx.xxx9、优先级优先级是选择条件的第二个字段，它代表消息的紧急程度。