Evtsys--轻松将Windows日志转换为SYSLOG

Evtsys--轻松将Windows日志转换为SYSLOG

们知道，无论是Unix、Linux、FreeBSD、Ubuntu，还是路由器、交换机，都会产生大量的日志，而这些，一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉，如果您还不了解SYSLOG，请登录百度或Google查询。

很多时候，我们需要对日志进行集中化管理，如各种操作系统、网络设备、安全设备，甚至应用系统、业务系统等，但是不知道你注意看上文了没：Windows的应用、安全、系统日志怎么办？

Windows操作系统本身是可以产生很多日志的，如每次插拔U盘、服务的重启等，都会产生日志，这些信息会记录在操作系统中，如果我们想集中管理，怎么办？Windows操作系统本身并不支持把日志发送到SYSLOG服务器去

还好，我们有Evtsys。什么是Evtsys呢？如果你想下载Evtsys，请登录/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是，程序仅仅有几十KB大小！

下载Evtsys后，将其复制到系统目录，XP下是Windows\system32目录。然后在CMD下执行：

evtsys.exe -i -h 192.168.1.101 -p 514

这个是标准格式，亦可精简为：

evtsys -i -h 192.168.1.101

参数说明：

i是安装成Window服务；

h是syslog服务器地址；

p是syslog服务器的接收端口。

默认下，端口可以省略，默认是514.

启动Evtsys服务，命令是：

net start evtsys

查看Windows的“服务”，发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”，并且已经启动。

简单否？我们来测试下结果：

用SyslogGather.exe进行测试（软件下载：一款基于Windows的绿色版SYSLOG日志采集器）

我的计算机地址是192.168.1.101，我安装Evtsys的时候设定syslog的地址是192.168.1.101，然后打开SyslogGather.exe，重启某个服务，发现有日志显示：

到此，我们成功的在Windows下配置了Event Log到Syslog的转换。