Evtsys--轻松将Windows日志转换为SYSLOG

Windows cmd命令中的系统日志管理技巧在Windows操作系统中，日志是记录系统事件和错误的重要工具。

通过查看系统日志，我们可以了解系统的运行情况，及时发现问题并采取相应的措施。

本文将介绍一些Windows cmd命令中的系统日志管理技巧，帮助您更好地管理和利用系统日志。

一、查看系统日志1. eventvwr：这个命令可以打开事件查看器，提供了一个图形化界面，方便我们查看和管理系统日志。

在命令提示符下输入eventvwr并按下回车键即可打开事件查看器。

2. wevtutil：这个命令可以在命令行下查看和管理系统日志。

例如，输入wevtutil qe System /c:10 /rd:true可以查看最近的10条系统日志。

其中，System表示要查看的日志类型，/c:10表示要查看的日志条数，/rd:true表示按照逆序排列。

二、导出系统日志1. wevtutil：通过wevtutil命令，我们可以将系统日志导出为XML或CSV格式的文件，方便我们进行后续的分析和处理。

例如，输入wevtutil epl SystemC:\SystemLog.xml可以将System日志导出为XML格式的文件，并保存在C盘根目录下的SystemLog.xml文件中。

2. PowerShell：除了wevtutil命令，我们还可以使用PowerShell来导出系统日志。

例如，输入Get-WinEvent -LogName System | Export-Csv C:\SystemLog.csv可以将System日志导出为CSV格式的文件，并保存在C盘根目录下的SystemLog.csv 文件中。

三、清除系统日志1. wevtutil：通过wevtutil命令，我们可以清除系统日志中的所有事件。

例如，输入wevtutil cl System可以清除System日志中的所有事件。

2. PowerShell：除了wevtutil命令，我们还可以使用PowerShell来清除系统日志中的事件。

windows系统生成syslog报文
Windows系统日志的格式不相同,因此保存系统日志时,需要统一日志的格式并上传到SYSLOG服务器.
根据操作系统的位数,划分32和64位.相应的日志上传工具也分为两个版本.
Evtsys_4.1.0_32-Bit 6 Evtsys_4.1.0_64-Bit
下载对应的软件压缩包后解压
1.将其中的evtsys.dll和evtsys.exe文件一起复制到C:/windows/system32
2.以管理员身份运行CMD(命令提示符)
3.执行：evtsys –i –h 172.18.
4.105(syslog服务器地址) –p 1514
(PS:本机已经启动了evtsys服务，未开启服务的机器执行上面的命令即可) 4.服务启动后，便可以在SYSLOG服务器上查看到相应的系统信息命令解释：
1.启动服务：net start evtsys
2.停止服务：net stop evtsys
3.关联SYSLOG服务器：evtsys -i -h ip
-i 表示安装成系统服务
-h 表示指定log服务器的IP地址
4.卸载服务：evtsys –u evtsys（需要先将evtsys服务停止）。

Syslog服务器收集系统log信息在定位设备故障时，如果能够收集到故障时设备的部分命令输出信息，对故障检查将有极大帮助，但在很多情况下，由于种种原因，手工收集信息可能会有困难，往往不能及时收集到有用的信息。

而使用设备自带的syslog 功能，可以自动收集部分设备运行状态信息，并保存在一个syslog 服务器中，这样，即使设备被重新启动了，这些状态信息仍然可以从syslog 服务器中获取，从而为故障定位提供帮助。

syslog要考虑的主要是哪些日志需要发送到日志服务器上，即日志等级，0.emergency—Logs only emergency events. Such as system is unusable1.alert—Logs alert and more severe events. Action must be taken immeditedly2.critical—Logs critical and more severe events.3.error—Logs error and more severe events.4.warning—Logs warning and more severe events.5.notice—Logs notice and more severe events.rmational—Logs informational and more severe events.7.debug—Logs all events, including debug events.如果设置logging level 6 将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslog server7750的log事件流分为4种级别：1.Security —用于记录用户登录，登录失败，越级操作尝试等安全方面的内容；2.Change —用于记录配置修改或节点运行状态改变的log；3.Debug—trace －用于分析协议细节的debug；4.Main —除了上述内容外的其它log内容；7750的log的应用：7750# show log applications==================================Log Event Application Names==================================Application Name ----------------------------------APPLICATION_ASSURANCEAPS APS K1K2以及切换信息ATM Cpos 155M端口E1信息BGPCCAGCFLOWDCHASSISCPMHWFILTERDEBUGDHCPDHCPSDOT1AGDOT1XEFM_OAMFILTERGSMPIGMPIGMP_SNOOPINGIPIPSECISISLAGLDPLILOGGERMCACMCPATHMC_REDUNDANCYMIRRORMLDMLD_SNOOPINGMPLSMSDPNTPOAMOSPFPIMPIM_SNOOPINGPORTPPPPPPOEQOSRIPROUTE_POLICYRSVPSECURITYSNMPSTPSUBSCR_MGMTSVCMGRSYSTEMTIPTODUSERUSER_DBVRRPVRTRSys log 服务器配置：Syslog服务器硬件基本配置：●操作系统：Windows xp/2000；●内存：1G；●硬盘：200G；●CPU：1.6GHzSyslog服务器软件：●3CDaemonSyslog 服务配置完成后，每台需要记录syslog 信息的设备均会将log 信息记录到文件名与自身IP地址对应的log 文件中。

Solaris配置syslog服务方法在/etc/syslog.conf文件中加入一行。

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @10.212.41.75其中@loghost在hosts文件中定义，vi /etc/hosts。

在其中加入一行：10.212.41.86 loghost 重起syslog服务：/etc/init.d/syslog stop/etc/init.d/syslog startsvcadm restart system/system-log solaris10svcadm restart svc:/system/system-log:default使syslog记录tcp等网络服务日志。

修改/etc/init.d/inetsvc。

找到inetd那行改为：/usr/sbin/inetd -s -t &重启inetd：/etc/init.d/inetsvc stop/etc/init.d/inetsvc startHP UNIX配置syslog服务方法打开inetd日志功能在/etc/rc.config.d/netdaemons中的INETD_ARGS 环境变量中增加－l参数:export INETD_ARGS=-l修改syslog配置文件syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：/sbin/init.d/syslogd stop/sbin/init.d/syslogd startIBM AIX配置syslog服务方法修改syslog配置文件/etc/syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：stopsrc -s syslogdstartsrc –s syslogdSUSE10配置syslog服务vim /etc/syslog-ng/syslog-ng.conf#定义日志类型：filter f_login { level(info) and facility(auth); };filter f_boco { level(warn, err, crit, alert, emerg) and not filter(f_iptables); };#配置日志转发：destination allmessages {udp("10.212.41.87" port(514)); };log { source(src); filter(f_boco); destination(allmessages); };log { source(src); filter(f_login); destination(allmessages); };重启日志服务：/etc/init.d/syslog restartLinux Syslog日志配置在/etc/syslog.conf文件中加入一行。

Windows主机下安装syslog日志客户端一、为什么使用日志客户端对于unix类主机以及交换机、路由器、防火墙等的日志记录，都可以通过syslog协议记录传输，但是Windows操作系统本身是可以产生很多日志的，如用户的登录、服务的重启等，都会产生日志，这些信息会记录在操作系统中，不支持把日志发送到syslog服务器去，所以要安装第三方软件转换Windows的日志。

二、Evtsys介绍Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。

它支持Windows 2000、2003、Vis、XP和Server 2008，并且编译后支持32和64位环境。

它被设计用于高负载的服务器，Evtsys快速、轻量、高效率。

并可以作为Windows服务存在。

下载地址：/p/eventlog-to-syslog/三、Evtsys安装以及配置1.从官网点击download选择32位或者64位下载（此处以32位为例）2.下载后解压文件，Readme.rtf为说明文件，其余两个为程序文件32位系统evtsys安装copy evtsys.exe c:\windows\system32\copy evtsys.dll c:\windows\system32\cd c:\windows\system32evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys64位系统evtsys安装copy evtsys.exe c:\windows\SysWOW64\copy evtsys.dll c:\windows\SysWOW64\cd c:\windows\SysWOW64evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys3.开启系统相关审计打开windows组策略编辑器(开始->运行输入gpedit.msc) 在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

部署收集windows日志软件evtsys 1、第一阶段部署服务器列表(要求顺序部署)2、第二阶段部署服务器列表3、解压缩Evtsys_4.5.1_32-Bit.zip文件，得到evtsys.exe文件。

4、32位windows系统evtsys安装(如果是64位windows系统，请找陈涛要64位安装包)copy evtsys.exe c:\windows\system32\cd c:\windows\system32evtsys.exe -i -a -h 172.30.10 -l 3命令成功运行后会在系统增加EventLog to Syslog服务。

5、启动Evtsys服务，命令是：net start evtsys6、打开windows控制面板/管理工具/服务，查看“Eventlog tosyslog”服务的状态是否“正在运行”，启动类型是否“自动”。

7、回滚措施停止Evtsys服务，命令是：net stop evtsys删除Evtsys服务，命令是：cd c:\windows\system32evtsys -u8、evtsys参数说明可以在下载后的安装包中查看说明文档有详细信息evtsys.exe -i|-u|-d [-h host] [-p port]-i Install service (安装服务)-u Uninstall service (卸载服务)-d Debug: run as console program (以debug模式运行)-h host Name of log host (日志服务器IP地址)-p port Port number of syslogd (日志服务器端口，默认是514。

Windows事件接入需要在windows系统上安装应用程序 SEMCollector ，具体安装方法如下：1、将SEMCollector文件解压后运行setup.exe，按照提示后进行安装，如下图所示：1)点击“下一步”2)建议安装在默认目录，点击“下一步”3)点击“下一步”4)点击“下一步”5)点击“安装”6)点击“完成”2.2.2SEMCollector配置方法（1）打开配置文件“SEMCollectCfg.xml”目录为：“C:\Program Files\LinkTrust\SEMCollector\conf”文件内容如下：<?xml version="1.0" encoding="GB2312"?><CONFIGURATION><SYSTEM><SYSTEMNAME>Windows</SYSTEMNAME><SYSTEMTYPE>windows</SYSTEMTYPE><LOGPATH></LOGPATH><LOGFORMAT></LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local0</PARAM></ACTIONPARAM></SYSTEM><SYSTEM><SYSTEMNAME>IIS</SYSTEMNAME><SYSTEMTYPE>IIS</SYSTEMTYPE><LOGPATH>C:\WINNT\system32\LogFiles\MSFTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\SMTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\W3SVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local1</PARAM></ACTIONPARAM></SYSTEM></CONFIGURATION>（2）将文件中标红处改为采集机IP地址后保存，重启SEM-COLLECTOR服务即可。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。

经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(/)，它不仅功能齐全，而且提供免费的版本。

Kiwisyslog遵循标准的日志协议(RFC 3164)，并支持UDP/TCP/SNMP几种方式的日志输入。

它默认是个免费的功能受限版（但功能基本够用了，只是没有找到汉化），自带发送模拟器﹑日志浏览器等实用工具。

我还测试了一下把ACE日志写到syslog的功能。

过程记录如下：1）使用klog工具这个主要用到kiwisyslog的klog实用工具(这个工具同时提供dll库的调用方式,真是好东西，我决定以后在我的应用里都用它！)，它支持直接或用重定向的方法输出日志到kiwisyslog。

klog –m "It's almost lunchtime"DIR *.* | klog -h 192.168.1.2 -i但我试图使用ACE应用日志输出到kiwisyslog时（ace_app.exe | klog -h 192.168.1.2 -i的形式），发现日志内容里前后有乱码出现，即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题；并且不能按时间一行一行的输出，而是等应用程序执行结束时一股脑输出到kiwisyslog（按回车换行切开成一条一条日志）。

如果程序非正常结束，还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);然后按下面2）的方法转到kiwisyslog。

2）还可以把Windows下的事件日志转到Linux下的syslog我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。

windows 2012 配置syslog日志转发概述及解释说明1. 引言1.1 概述本文旨在探讨Windows Server 2012中配置syslog日志转发的方法。

随着信息技术的迅速发展，企业对于日志管理和安全审计的需求也越来越重要。

而syslog作为一种标准化的日志传送协议，可以将系统和应用程序生成的日志事件转发到集中式服务器进行集中管理和分析。

本文将介绍如何在Windows Server 2012上配置syslog日志转发，以满足企业对于日志集中管理的需求。

1.2 文章结构本文将按以下结构组织内容：- 引言：介绍本文的目的和结构。

- 配置syslog日志转发的必要性及作用：论述为什么需要配置syslog日志转发以及它的作用与优势。

- Windows Server 2012中配置syslog日志转发的方法：详细介绍在Windows Server 2012上如何完成syslog日志转发的配置过程。

- 相关注意事项和常见问题解答：提供一些配置过程中需要注意的事项，并解答一些常见问题。

- 结论：总结全文内容，展望未来发展方向。

1.3 目的通过阅读本文，读者将了解到在Windows Server 2012中实现syslog日志转发所需的步骤和方法，并且理解syslog日志转发在企业中的重要性以及其带来的好处。

同时，本文还将帮助读者识别和解决在配置过程中可能遇到的一些常见问题，以确保配置顺利完成并保证日志的准确传递和管理。

以上是“1. 引言”部分内容，旨在引导读者进入本文主题，并提供对整篇文章涉及内容的概述。

2. 配置syslog日志转发的必要性及作用2.1 什么是syslog日志转发Syslog是一种标准的网络协议，用于收集、传输和存储各种设备和应用程序生成的系统日志信息。

而syslog日志转发则是指将这些系统日志从源设备或应用程序发送到目标服务器或存储位置的过程。

通过配置syslog日志转发，可以实现集中管理和分析各个设备和应用程序产生的日志数据。

用Syslog 记录UNIX和Windows日志的方法2007-10-11 16:53 佚名 51CTO论坛字号：T | T在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

AD：WOT2014：用户标签系统与用户数据化运营培训专场在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD下的syslog为例，介绍如何利用freebsd的syslogd来记录来自UNIX和windows的log信息。

一、记录UNIX类主机的log信息首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。

在/etc/rc.conf中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中Freebsd对syslogd的默认设置参数是syslogd_flags="-s"，（可以在/etc/defaults/rc.conf中看到）默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。

windows 2012 配置syslog日志转发-回复Windows Server 2012 配置Syslog 日志转发Syslog 是一种广泛使用的日志协议，它能够帮助系统管理员集中管理不同设备生成的日志。

在Windows Server 2012 中，我们可以配置日志转发，将系统生成的日志从Windows 服务器发送到指定的Syslog 服务器。

本文将一步一步介绍如何在Windows Server 2012 上配置Syslog 日志转发。

第一步：准备工作在开始配置Syslog 日志转发之前，请确保你具备以下条件：1. 一台运行Windows Server 2012 的服务器。

2. 一台运行Syslog 服务的服务器。

3. 两台服务器之间的网络连接正常。

第二步：安装Telnet 客户端在Windows Server 2012 上，默认情况下并没有Telnet 客户端，而在配置Syslog 日志转发时，我们需要使用Telnet 来测试Syslog 服务器是否可达。

因此，我们需要先安装并启用Telnet 客户端。

以下是安装Telnet 客户端的步骤：1. 打开开始菜单，选择"服务器管理器"。

2. 在"服务器管理器" 中，点击"角色" - "添加角色"。

3. 在"添加角色向导" 中，点击"下一步"。

4. 在"服务器角色选择" 页面，勾选"Telnet 客户端"，然后点击"下一步"。

5. 在"功能选择" 页面，点击"下一步"。

6. 在"确认安装选择" 页面，点击"安装"。

7. 安装完成后，关闭"添加角色向导"。

第三步：配置Syslog 日志转发在Windows Server 2012 上配置Syslog 日志转发的具体步骤如下：1. 打开"事件查看器"。

Evtsys--轻松将Windows日志转换为SYSLOGEvtsys--轻松将Windows日志转换为SYSLOG们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。

调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。

很多时候，我们需要对日志进行集中化管理，如各种操作系统、网络设备、安全设备，甚至应用系统、业务系统等，但是不知道你注意看上文了没：Windows的应用、安全、系统日志怎么办？Windows操作系统本身是可以产生很多日志的，如每次插拔U盘、服务的重启等，都会产生日志，这些信息会记录在操作系统中，如果我们想集中管理，怎么办？Windows操作系统本身并不支持把日志发送到SYSLOG服务器去还好，我们有Evtsys。

什么是Evtsys呢？如果你想下载Evtsys，请登录/p/eventlog-to-syslog/ 查看并获取最新更新。

值得称道的是，程序仅仅有几十KB大小！下载Evtsys后，将其复制到系统目录，XP下是Windows\system32目录。

然后在CMD下执行：evtsys.exe -i -h 192.168.1.101 -p 514这个是标准格式，亦可精简为：evtsys -i -h 192.168.1.101参数说明：i是安装成Window服务；h是syslog服务器地址；p是syslog服务器的接收端口。

默认下，端口可以省略，默认是514.启动Evtsys服务，命令是：net start evtsys查看Windows的“服务”，发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”，并且已经启动。

简单否？我们来测试下结果：用SyslogGather.exe进行测试（软件下载：一款基于Windows 的绿色版SYSLOG日志采集器）我的计算机地址是192.168.1.101，我安装Evtsys的时候设定syslog的地址是192.168.1.101，然后打开SyslogGather.exe，重启某个服务，发现有日志显示：到此，我们成功的在Windows下配置了Event Log到Syslog的转换。

Eventlog to Syslog v4.4Release 4.4.1Last revised March 8, 2011This product includes software developed by Purdue University.The Eventlog to Syslog utility is a windows service originally created by Curtis Smith at Purdue University. The original utility and source code can be found at the following website:https:///ECN/Resources/Documents/UNIX/evtsys/ Version 4 was modified by Sherwin Faria in July, 2009, in order to meet the needs of Rochester Institute of Technology.This update of the Eventlog to Syslog client builds upon the original code by offering several bug fixes and some additional features.Changes in v4.4.1:•Fixed a bug checking the windows events engine installedChanges in v4.4:•Finally added the ability to send only specified events•Set Audit Failures to show as Error instead of Notice on Vista/2k8+•Allow user to specify the minimum severity to process•Added registry keys to configure the minimum severity and mode•The keys are LogLevel and IncludeOnly. Both DWORD values where 0 is disabled. See readme for additional details.Send all comments, questions, bug reports, and requests to:Sherwin FariaRochester Institute of TechnologyInformation & Technology Services, Bldg. 101 Lomb Memorial DriveRochester, NY 14623, U.S.A.sherwin.faria@TABLE OF CONTENTS1) Usage2) Installing the Service3) Uninstalling the Service4) Debug Mode5) Specifying Log Hosts6) Specifying Syslog Facility7) Appendix (Includes Changelog)1. Usage:Version: 4.4 (32-bit)Usage: evtsys.exe -i|-u|-d [-h host] [-b host] [-f facility] [-p port] [-s minutes] [-l level] [-n]-i Install service-u Uninstall service-d Debug: run as console program-h host Name of log host-b host Name of secondary log host (optional)-f facility Facility level of syslog message-l level Minimum level to send to syslog.\n", stderr);0=All/Verbose, 1=Critical, 2=Error, 3=Warning, 4=Info -n Include only those events specified in the config file.-p port Port number of syslogd-q bool Query the Dhcp server to obtain the syslog/port to logto(0/1 = disable/enable)-s minutes Optional interval between status messages. 0 = DisabledDefault port: 514Default facility: daemonDefault status interval: 0Host (-h) required if installing.2. Installing the ServiceThe Service installs eight registry values in HKLM\SOFTWARE\ECN\EvtSys\3.0 Facility (DWORD) Default: 3IncludeOnly (DWORD) Default: 0LogHost (String) Default: N/ALogHost2 (String) Default: <empty>LogLevel (DWORD) Default: 0Port (DWORD) Default: 514QueryDhcp (DWORD) Default: 0StatusInterval (DWORD) Default: 0If no secondary host is specified LogHost2 is blank.It also registers itself as a service under the name evtsys and displays inservices.msc as “Eventlog to Syslog”.The program must be installed from the command line and must be located in C:\Windows\System32After you have run evtsys.exe with the -i switch and specified a loghost you can then type net start evtsys to start the service.To start or stop the service from the command line type: net start evtsys or net stop evtsysAlternatively you can start the service from the Services control panel in Administrative Tools. Look for "Eventlog to Syslog".2.1. Using a DHCP OptionThe DHCP option is called EventToSyslogDhcpOption. It is in the formatx.x.x.xNotes: (Courtesy of Damien)Microsoft Windows has a big problem with non-standard DHCP optionwhich need us to "install" a "persistent DHCP request" in order to be able to retrieve it...I have seen some windows still not being able to get us the standardoptions without using a persistent request, so activating this branch ofcode will do the trick, just notice that in order to work, the system will only work after the second boot, because as said in MSDN docs, the persistent request is only done at boot time, so the first registers the request, thesecond boot does it.In the sake of being completely documented, knowing where to look incase things go wrong:HKLM\System\CurrentControlSet\Services\Dhcp\Parameters:the GUID keys are the GUID of the network adapters, and the values are simply the DHCP packets, so look into those values, and you will read the options as passed by the DHCP server (you will recognize the optionswindows say it knows nothing about.. but here they are).HKLM\System\CurrentControlSet\Services\Dhcp\Parameters\Options:lists the "options" windows know about, kind of factory defaults. Unusable for us, but it is here that you will see new keys appear when you activatethe "persistent request" mechanism.3. UninstallingUninstalling the service will delete the registry keys created during installation and unregister the Eventlog to Syslog service. All files will remain in their current location.4. Debug ModeDebug mode provides additional information on the operation of the service. The following information is displayed while in debug mode:•The source and ID of an ignored event•All error messages5. Specifying Log HostsUse command line switches –h and –b to specify your primary and secondary Syslog servers. The –b switch is optional, but –h is required when installing the agent.You may specify either the hostname or IP address of a host. The utility will convert the hostname into an IP address and store that address into the registry.6. Specifying FacilityThe Syslog protocol specifies 24 facilities:0 kernel messages1 user-level messages2 mail system3 system daemons4 security/authorization messages5 messages generated internally by syslogd6 line printer subsystem7 network news subsystem8 UUCP subsystem9 clock daemon10 security/authorization messages11 FTP daemon12 NTP subsystem13 log audit14 log alert15 clock daemon16 local use 0 (local0)17 local use 1 (local1)18 local use 2 (local2)19 local use 3 (local3)20 local use 4 (local4)21 local use 5 (local5)22 local use 6 (local6)23 local use 7 (local7)By default the “Eventlog to Syslog” service logs to facility 3, system daemon, butit can be configured to log to whatever facility you specify using the –f switch.7. Appendix7.1 The Configuration FileIf no configuration file is found a default configuration file is generated with the following contents:'!!!!THIS FILE IS REQUIRED FOR THE SERVICE TO FUNCTION!!!!''Comments must start with an apostrophe and'must be the only thing on that line.''Do not combine comments and definitions on the same line!''Format is as follows - EventSource:EventID'Use * as a wildcard to ignore all ID's from a given source'E.g. Security-Auditing:*''In Vista/2k8 and upwards remove the 'Microsoft-Windows-' prefix'**********************:**************************Note:In Vista/Server 2008 and onward certain Microsoft specific publishers have a Microsoft-Windows- prefix attached to them. The “Eventlog to Syslog” utility strips this prefix in order to save space in the sent message. If you want to ignore one of these events then be sure to remove the prefix when youspecify it in the configuration file.7.2 The Status File (Obsolete)The status file is updated by the agent approximately every two minutes. The agent places a single line in the file in the following format:Mmm dd hh:mm:ss - Eventlog to Syslog Service RunningYou may delete this file at any time and the agent will recreate it at the next interval.7.3 Minimum Log Level/SeverityThe LogLevel registry key limits the events that are processed by the utility.Only logs with a severity less than or equal to the set level will be processed.The severity ratings are as follows:Type Pre-2k8 Vista/2k8+CRITICAL N/A 1ERROR 1 or 2 2WARNING 3 3INFORMATION 4 4AUDIT/ALL 0 0Note: Since a CRITICAL severity is not available on systems prior toVista/2k8, Level 1 is mapped to error, which is 2.7.4 The IncludeOnly FlagBy setting the include only flag you cause the service to treat the contents of the configuration file as allowed events. Any events NOT specified in the file will be ignored. When the flag is false, any events that ARE specified in the file are ignored.7.5 Miscellaneous7.5.1 Maximum message sizeThe maximum size of a Syslog message is defined as 1024 bytes.Anything beyond this threshold is truncated.7.5.2 Polling intervalThe “Eventlog to Syslog” service polls for messages every 5 seconds.7.5.3 TimestampsEvent timestamps are captured from the event itself.The agent generates its own timestamps for error and informationalmessages.7.6 CompilingCompiling the service requires Microsoft Visual Studio. I use 2008, but earlier versions should also work.You can change the type of compile you are doing using the vcvarsall.bat script. Details can be found at this site:/en-us/library/x4d2c09s(VS.80).aspx1. Open the appropriate Visual Studio Command Prompt in (There may be32Bit and 64Bit shortcuts)Start>Programs>Visual Studio 200x>Visual Studio Tools2. Navigate to the directory containing the source files3. Type nmake4. Wait for the task to complete. All you will need is evtsys.exe and evtsys.dll.There is also an evtsys.pdb file created for debugging if you choose tokeep it.5. Once completed you can type nmake clean to delete all created files, butbe sure to move evtsys.exe and evtsys.dll first as those will also bedeleted.7.7ChangelogChanges in v4.4.1:•Fixed a bug checking the windows events engine installedChanges in v4.4:•Finally added the ability to send only specified events•Set Audit Failures to show as Error instead of Notice on Vista/2k8+ •Allow user to specify the minimum severity to process•Added registry keys to configure the minimum severity and mode The keys are LogLevel and IncludeOnly. Both DWORD values where 0 is disabled. See readme for additional details.Changes in v4.3.1:•Bugfix: Fixed bug where hostnames on Server 2003 and earlier were getting an extra leading space.Changes in v4.3:•Fixed a crash dealing with ignored events (Thanks to Pavel)•Wildcards now work in the config file for event IDs. So to ignore all events from a given source, the format would be: SourceName:* •Got rid of the evtsys.stat file. Sends the message to the Syslog server instead•Added a registry key to control if and when the status message is sent.The key is called StatusInterval with type DWORD and you specify atime in minutes. 0 means disabled.Changes in v4.2:•Thanks to Damien Mascre for his help with this update (UTF-8 and DHCP)•Added UTF-8 support, so messages are now sent using UTF-8 encodingNote: Tested using Syslog Watch Personal. Had to force UTF-8codepage•Added hostname immediately after timestamp to comply with RFC-3164•Added ability to use a DHCP option to set syslog server (by Damien) •Removed spaces from event source (tag) field in sent message Changes in v4.0:•Added ability to ignore specific events•Added a status file for monitoring service operation•Added event’s timestamp to outgoing messages•Added compatibility with the Vista/Server 2008 Windows Events service•Added ability to send to two Syslog servers simultaneously•Fixed a possible memory exception with bad message definitions•Fixed a bug where utility would not search all message files7.8 FAQ∙Q: I am using syslog-ng and no logs are showing up on my syslog server, what gives?∙A: Try making sure your host filters in syslog-ng are uppercase.Syslog-ng hostname matching is case sensitive。

让Windows主机发送SysLOG的方法神州泰岳软件股份有限公司UltraPower Software Co.,Ltd.2013年9月一、概述 (3)二、使用软件 (3)1.E VENTLOG TO S YSLOG U TILITY (3)2.3CDAEMON (3)三、具体步骤 (3)1.下载EVTSYS_EXE_32.ZIP，解压 (3)2.拷贝解压文件 (3)3.配置EVTSYS (3)4.启动服务 (4)5.更改配置 (4)6.安装3CDAEMON (4)7.配置3CDAEMON的SYSLOG服务 (4)8.验证 (5)一、概述Linux主机和网络设备都能够通过配置SYSLOG，发送到接受syslog的服务器上，默认情况下windows主机无法将系统日志通过SYSLOG发送，要借助第三方工具。

二、使用软件1.Eventlog to Syslog Utilityevtsys_exe_32.zip或evtsys_exe_64.zip下载地址：https:///ECN/Resources/Documents/UNIX/evtsys/evtsys_exe_32.ziphttps:///ECN/Resources/Documents/UNIX/evtsys/evtsys_exe_64.zip2.3cdaemon通过3cdaemon，配置成Syslog服务器，收集客户端的Syslog。

三、具体步骤1.下载evtsys_exe_32.zip，解压2.拷贝解压文件将解压后的文件拷贝到发送syslog的windows主机的%systemroot%\system32目录下。

3.配置evtsys通过命令行输入：evtsys -i -h hostnamehostname为syslog服务器的主机名或IP地址，命令成功运行后会在系统增加EventLog to Syslog服务。

4.启动服务通过命令行输入：net start evtsys来启动服务。

利⽤SyslogWatcher在windows下部署syslog⽇志服务器1.概述syslog协议是各种⽹络设备、服务器⽀持的⽹络⽇志记录标准。

Syslog消息提供有关⽹络事件和错误的信息。

系统管理员使⽤Syslog进⾏⽹络管理和安全审核。

通过专⽤的syslog服务器和syslog协议将来⾃整个⽹络的事件记录整合到⼀个中央存储库中，对于⽹络安全具有重⼤意义，syslog⽇志服务器可收集，解析，存储，分析和解释系统⽇志消息给专业⽹络安全管理员，有助于提⾼⽹络的稳定性和可靠性。

通过Syslog Watcher可在windows平台搭建⽇志集中服务器，便于管理并满⾜合规需求。

2.安装服务端可前往下载软件并安装。

在Syslog Watcher部署完成后需对其配置进⾏修改，主要修改如下：将编码格式修改为UTF-8不然会出现⽇志乱码问题。

可⾃定义监听端⼝3.安装客户端本⽂使⽤作为windows⽇志⼿机客户端，可前往下载软件并安装。

在部署完成后需对nxlog.conf配置⽂件进⾏修改，主要修改如下：Panic Soft#NoFreeOnExit TRUEdefine ROOT D:\nxlog #安装路径define CERTDIR %ROOT%\certdefine CONFDIR %ROOT%\confdefine LOGDIR %ROOT%\datadefine LOGFILE %ROOT%\data\nxlog.log #⽇志路径LogFile %LOGFILE%Moduledir %ROOT%\modulesCacheDir %ROOT%\dataPidfile %ROOT%\data\nxlog.pidSpoolDir %ROOT%\data<Extension _syslog>Module xm_syslog #syslog服务</Extension><Input in>Module im_msvistalog #对windowsvista及以上适⽤ReadFromLast FALSESavePos FALSE# Query <QueryList>\# <Query Id="0">\# <Select Path="Application">*</Select>\# <Select Path="System">*</Select>\# <Select Path="Security">*</Select>\# </Query>\# </QueryList></Input><Output out> #输出到远程⽇志服务器Module om_udpHost 10.10.0.36Port 514Exec to_syslog_snare();</Output><Output out2> #输出到远程⽇志服务器Module om_udpHost 10.10.0.37Port 666Exec to_syslog_snare();</Output><Route 1> #输出规则Path in => out</Route><Route 2> #输出规则Path in => out2</Route>#<Extension _charconv># Module xm_charconv# AutodetectCharsets gb2312# AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32#</Extension><Extension _exec>Module xm_exec</Extension><Extension _fileop>Module xm_fileop# Check the size of our log file hourly, rotate if larger than 5MB<Schedule>Every 1 hourExec if (file_exists('%LOGFILE%') and \(file_size('%LOGFILE%') >= 5M)) \file_cycle('%LOGFILE%', 8);</Schedule># Rotate our log file every week on Sunday at midnight<Schedule>When @weeklyExec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);</Schedule></Extension>。

kiwi syslog日志服务器搭建1、安装kiwi syslog2、在windows服务器上安装evtsys_exe_64用于将windows日志转换，传送到kiwi syslog解压后，将evtsys.dll和evtsys.exe复制到system32下。

evtsys命令Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]-i Install service (安装服务)-u Uninstall service (卸载服务)-d Debug: run as console program (以debug模式运行)-h host Name of log host (日志服务器IP地址)-p port Port number of syslogd (日志服务器端口，默认是514)-q char Quote messages with character3、执行以下命令，将evtsys安装为服务：evtsys -i -h 192.168.54.64、启动evtsys服务net start evtsys5、打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转换成syslogd 可识别的格式,通过UDP 3072端口发送给syslogd服务器。

OK,所有的配置windows端配置完成.6、如果要卸载evtsys,则：net stop evtsysevtsys -u7、SUSE LINUX配置syslog-ng客户端vi /etc/syslog-ng/syslog-ng.conf在最后一行添加以下内容：destination d_udp { udp("192.168.54.6" port(514)); };log { source(src); destination(d_udp); };启动syslog服务service syslog start8、设置日志存储位置与存放格式，存放格式为：SyslogYYYY-MM-DD xxxx.xxxx.xxx.xxx9、优先级优先级是选择条件的第二个字段，它代表消息的紧急程度。

基于Apache Flume 的大数据日志收集系统作者：于秦来源：《中国新通信》2016年第18期【摘要】在信息化及大数据时代下，各种应用程序的分散及生成的日志信息成爆炸式增长，怎么有效的收集这些日志，并对它进行在线和离线分析，已经成为这领域的热点。

我们在现有的Apache Flume、Hadoop等框架下，设计实现了一种大数据日志收集系统。

【关键词】 Apache Flume 日志收集 Hadoop大数据及互联网时代下，为了更有效的管理各种应用和系统程序的运行，通过收集它们的日志信息，进行离线和在线分析，来了解它们的运行和安全情况。

在信息化及大数据下，分布式系统用的越来越多，日志的存储路径及分布情况越来越多。

为了能更好的聚集存储分析这些分布式日志，本文基于开源的Apache Flume 、Hadoop 框架下，设计实现了一种大数据分布式的日志收集系统，并将收集的日志用于监控分析。

一、 FlumeFlume 是一种开源的分布式日志管理架构，它可以将日志聚集，有可用性高、性能高、事务管理、失败重启等功能。

将各个分布式系统上的日志源聚集到一个存储上，方便日志的统一的分析和处理。

数据处理速度快，完全可以用于生产环境[4]。

Flume的核心是agent ：（1）agent是一个java进程，运行在日志收集端，通过agent接收日志，然后暂存起来，再发送到目的地；（2）agent里面包含3个核心组件：source、channel、sink。

source 组件是专用于收集日志的，可以处理各种类型各种格式的日志数据，source组件把数据收集来以后，临时存放在channel中。

channel 组件是在agent中专用于临时存储数据的，channel中的数据只有在sink发送成功之后才会被删除。

sink 组件是用于把数据发送到目的地的组件，目的地包括hdfs、logger、avro、thrift、ipc、file、null、hbase、solr、自定义。

常见Windows日志转SYSLOG工具介绍-----------------------------------------------------作者：张百川（网路游侠）网站：欢迎转载，但请注明出处。

谢谢！-----------------------------------------------------随着信息技术的高速发展，网络中的设备越来越多的，渐渐的我们发现依赖传统手段去一台台分析设备（路由器、交换机、防火墙、服务器、数据库、中间件等）的日志已经严重影响了我们的工作效率，并无法对业务系统的可用性提供保障。

总是在问题出现之后才充当救火员的角色。

所以，是时候对运维日志进行集中管理了。

关键词：syslog日志管理如第一段文字所说，运维日志有很多种，今天我们先说如何进行Windows日志的发送，毕竟这个毕竟容易下手……游侠会在近期撰写服务端的一些文字。

Windows操作系统本身是可以产生很多日志的，如每次插拔U盘、服务的重启等，都会产生日志，这些信息会记录在操作系统中，但Windows不像交换机、Linux那样自带syslog，而Windows系统自身的日志又不支持转发，所以要想收集Windows日志，必须安装Agent。

用其将Windows的系统日志、安全日志、应用日志等转换为syslog然后转发给我们的服务器端。

OK，现在我们说几款常见的Windows日志转SYSLOG工具，游侠选择了开源或免费的工具，所以……放心的用吧！1.evtsys1.1.说明Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。

它支持Windows Vista和Server 2008，支持32和64位环境。

evtsys被设计用于高负载的服务器，Evtsys快速、轻量、高效率。

并可以作为Windows服务存在。

1.2.下载/p/eventlog-to-syslog/downloads/list1.3.配置Evtsys的安装本来是要拷贝文件、cmd输入命令的，但是还是比较麻烦，游侠这里用批处理解决！Evtsys有两个版本，安装目录不同，这里分开说明：1.3.1.32位系统evtsys安装copy evtsys.exe c:\windows\system32\copy evtsys.dll c:\windows\system32\cd c:\windows\system32evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys1.3.2.64位系统evtsys安装copy evtsys.exe c:\windows\SysWOW64\copy evtsys.dll c:\windows\SysWOW64\cd c:\windows\SysWOW64evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys我们可以看到32位系统下是把文件复制到c:\windows\system32\目录，而在64位系统下是复制到c:\windows\SysWOW64\目录。