Windows主机下安装syslog日志客户端

背景：因为项目需要，现使用syslog-ng搭建一台日志服务器，简单来说就是利用我们现有的虚拟机中的syslog-ng服务，搭建一台用于专名存放其他虚拟机（也包括自己）所产生的日志。

由于一些用户以后将没有权限直接访问我们的ebackup 服务器，但又需要查看日志。

便可以用过这台日志服务器来查看。

日志服务器中的日志目录按照一定的规则设定，如“日期+主机名”等自行设定。

Syslog-ng介绍：规则，实现更好的过滤功能。

本次日志服务器的搭建是用的syslog-ng，关于syslog的具体描述可以参考下面的链接。

/subview/1614723/1614723.htm1、syslog-ng的配置说明syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf中。

首先需要简单介绍一下syslog-ng的架构。

yslog-ng.conf中所有配置都是基于syslog-ng 的这样一种架构：LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』即：消息路径『消息源－过滤器－目的站』也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。

（1）、消息源source格式为：source { sourcedriver params; sourcedriver params; ... };一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器消息源有以下几种：file (filename) ：从指定的文件读取日志信息unix-dgram (filename) ：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息unix-stream (filename) ：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息udp ( (ip),(port) ) ：在指定的UDP端口接收日志消息tcp ( (ip),(port) ) ：在指定的TCP端口接收日志消息sun-streams (filename) ：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息internal() ： syslog-ng内部产生的消息pipe(filename),fifo(filename) ：从指定的管道或者FIFO设备，读取日志信息例如：source s_sys {file ("/proc/kmsg" log_prefix("kernel:"));unix-stream ("/dev/log");internal();); };参数需要使用括号括住。

Windows主机下安装syslog⽇志客户端Windows主机下安装syslog⽇志客户端⼀、为什么使⽤⽇志客户端对于unix类主机以及交换机、路由器、防⽕墙等的⽇志记录，都可以通过syslog协议记录传输，但是Windows操作系统本⾝是可以产⽣很多⽇志的，如⽤户的登录、服务的重启等，都会产⽣⽇志，这些信息会记录在操作系统中，不⽀持把⽇志发送到syslog服务器去，所以要安装第三⽅软件转换Windows的⽇志。

⼆、Evtsys介绍Evtsys是⽤C写的程序，提供发送Windows⽇志到syslog服务器的⼀种⽅式。

它⽀持Windows 2000、2003、Vis、XP和Server 2008，并且编译后⽀持32和64位环境。

它被设计⽤于⾼负载的服务器，Evtsys快速、轻量、⾼效率。

并可以作为Windows服务存在。

下载地址：/doc/61f1f1d2c77da26925c5b0a1.html /p/eventlog-to-syslog/三、Evtsys安装以及配置1.从官⽹点击download选择32位或者64位下载（此处以32位为例）2.下载后解压⽂件，Readme.rtf为说明⽂件，其余两个为程序⽂件32位系统evtsys安装copy evtsys.exe c:\windows\system32\copy evtsys.dll c:\windows\system32\cd c:\windows\system32evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys64位系统evtsys安装copy evtsys.exe c:\windows\SysWOW64\copy evtsys.dll c:\windows\SysWOW64\cd c:\windows\SysWOW64evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys3.开启系统相关审计打开windows组策略编辑器(开始->运⾏输⼊gpedit.msc) 在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows⽇志。

在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD下的syslog为例，介绍如何利用freebsd的syslogd来记录来自UNIX和windows的log信息。

一，记录UNIX类主机的log信息：首先需要对Freebsd的syslog进行配置，使它允许接收来自其他服务器的log信息。

在/etc/rc.conf中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd的syslogd参数设置放在/etc/rc.conf文件的syslogd_flags变量中Freebsd对syslogd的默认设置参数是syslogd_flags="-s"，（可以在/etc/defaults/rc.conf中看到）默认的参数-s表示打开UDP端口监听，但是只监听本机的UDP端口，拒绝接收来自其他主机的log信息。

如果是两个ss,即-ss，表示不打开任何UDP端口，只在本机用/dev/log设备来记录log.修改后的参数说明：-4 只监听IPv4端口，如果你的网络是IPv6协议，可以换成-6-a 0/0:* 接受来自所有网段所有端口发送过来的log信息。

如果只希望syslogd接收来自某特定网段的log信息可以这样写：-a 192.168.1.0/24:*-a 192.168.1.0/24:514或者-a 192.168.1.0/24表示仅接收来自该网段514端口的log信息，这也是freebsd的syslogd进程默认设置，也就是说freebsd 在接收来自其他主机的log信息的时候会判断对方发送信息的端口，如果对方不是用514端口发送的信息，那么freebsd的syslogd会拒绝接收信息。

Windows事件接入需要在windows系统上安装应用程序 SEMCollector ，具体安装方法如下：1、将SEMCollector文件解压后运行setup.exe，按照提示后进行安装，如下图所示：1)点击“下一步”2)建议安装在默认目录，点击“下一步”3)点击“下一步”4)点击“下一步”5)点击“安装”6)点击“完成”2.2.2SEMCollector配置方法（1）打开配置文件“SEMCollectCfg.xml”目录为：“C:\Program Files\LinkTrust\SEMCollector\conf”文件内容如下：<?xml version="1.0" encoding="GB2312"?><CONFIGURATION><SYSTEM><SYSTEMNAME>Windows</SYSTEMNAME><SYSTEMTYPE>windows</SYSTEMTYPE><LOGPATH></LOGPATH><LOGFORMAT></LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local0</PARAM></ACTIONPARAM></SYSTEM><SYSTEM><SYSTEMNAME>IIS</SYSTEMNAME><SYSTEMTYPE>IIS</SYSTEMTYPE><LOGPATH>C:\WINNT\system32\LogFiles\MSFTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\SMTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\W3SVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local1</PARAM></ACTIONPARAM></SYSTEM></CONFIGURATION>（2）将文件中标红处改为采集机IP地址后保存，重启SEM-COLLECTOR服务即可。

用Syslog记录各种OS平台日志的方法用 Syslog 记录各种 OS 平台日志的方法在比较大规模的网络应用或者对安全有一定要求的应用中，通常需要对系统的日志进行记录分类并审核，默认情况下，每个系统会在本地硬盘上记录自己的日志，这样虽然也能有日志记录，但是有很多缺点：首先是管理不便，当服务器数量比较多的时候，登陆每台服务器去管理分析日志会十分不便，其次是安全问题，一旦有入侵者登陆系统，他可以轻松的删除所有日志，系统安全分析人员不能得到任何入侵信息。

因此，在网络中安排一台专用的日志服务器来记录系统日志是一个比较理想的方案。

本文以FreeBSD 下的syslog 为例，介绍如何利用 freebsd 的 syslogd 来记录来自 UNIX 和 windows 的 log 信息。

一、记录UNIX 类主机的log 信息首先需要对Freebsd 的syslog 进行配置，使它允许接收来自其他服务器的log 信息。

在/etc/rc.conf 中加入：syslogd_flags="-4 -a 0/0:*"说明：freebsd 的syslogd 参数设置放在/etc/rc.conf 文件的syslogd_flags 变量中Freebsd 对syslogd 的默认设置参数是syslogd_flags="-s"，(可以在/etc/defaults/rc.conf 中看到) 默认的参数-s 表示打开 UDP 端口监听，但是只监听本机的 UDP 端口，拒绝接收来自其他主机的 log 信息。

如果是两个 ss,即-ss，表示不打开任何 UDP 端口，只在本机用/dev/log 设备来记录 log. 修改后的参数说明： -4 只监听 IPv4 端口，如果你的网络是 IPv6 协议，可以换成-6 -a 0/0:* 接受来自所有网段所有端口发送过来的 log 信息。

如果只希望syslogd 接收来自某特定网段的log 信息可以这样写：-a 192.168.1.0/24:* -a 192.168.1.0/24:514 或者-a 192.168.1.0/24 表示仅接收来自该网段514 端口的log 信息，这也是freebsd 的syslogd 进程默认设置，也就是说 freebsd 在接收来自其他主机的 log 信息的时候会判断对方发送信息的端口，如果对方不是用 514 端口发送的信息，那么 freebsd 的 syslogd 会拒绝接收信息。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

基于syslog—ng的集中式日志服务器及其客户端配置方法作者：吕荣峰来源：《数字技术与应用》2014年第04期摘要：集中式日志服务器是网络安全管理的重要组成部分，在发现黑客入侵、留存系统运行信息、进行帐号行为的记录和审计等方面具有不可替代的作用。

文章提供了windows、Unix 和linux操作系统及cisco和华为网络设备日志客户端配置样例；并通过在aix和linux添加shell脚本文件，解决了aix日志未记录成功登录服务器的事件以及aix和linux操作系统不能将帐号操作命令传送到集中式日志服务器的问题。

关键词：syslog-ng 日志安全管理配置历史命令中图分类号：TP311 文献标识码：A 文章编号：1007-9416（2014）04-0168-021 引言集中式日志服务器在对黑客入侵进行记录、跟踪和追溯，对各种操作系统和网络设备的帐号进行审计（1）；留存系统运行状况和设备故障信息等方面都发挥非常重要的作用（2）。

如果不能解决采集各种操作系统和网络设备日志客户端的配置方法问题，就不能系统而全面地保留各种操作系统和网络设备产生的日志，同时如何在基本不对系统运行造成影响的情况下，能对操作系统的帐号操作行为进行记录也没有现成的解决方案。

2 日志服务器架构设置日志服务器中采用syslog-ng作为日志接收和记录的工具便于进行各种设备操作系统日志的分拣和管理。

而在日志系统客户端，对使用syslog-ng作为日志工具的系统，每个系统分配不同的udp端口；对只使用udp 514端口的设备，不分配专用端口。

这样，服务器生成按照设备文件-->年文件夹-->月文件夹--> auth.log、user.log和cron.log等日志文件。

3 日志服务器的配置文章在suse10操作系统日志服务器端配置如下：（1）在 syslog.conf中添加：SYSLOGD_PARAMS="-r -s 0"（2）在/etc/syslog-ng/syslog-ng.conf中加入options {sync （0）； time_reopen （10）； log_fifo_size （1000）； long_hostnames （off）；use_fqdn（yes）； chain_hostnames（off）； keep_hostname（yes）；stats（43200）； create_dirs（yes）；}；（3）对客户端使用syslog-ng日志工具的系统，根据端口号进行相关配置；如配置一个属主帐号test，用户组loggroup，系统日志文件夹名称为loggercaiji1，使用udp6514端口号接受日志信息的配置方式如下：source s_ loggercaiji1 {udp（ ip（"0.0.0.0"） port（6514））；}；destination d_ loggercaiji1{file（"/home/test/ loggercaiji1/$HOST/$YEAR/$MONTH/$FACILITY.log"owner（"test"）group（"loggroup"）perm（0750）dir_perm（0750）create_dirs（yes））； }；log { source（s_ loggercaiji1）； destination（d_ loggercaiji1）； }；该配置会在home目录的test目录中产生2中所述的日志文件样式。

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。

经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(/)，它不仅功能齐全，而且提供免费的版本。

Kiwisyslog遵循标准的日志协议(RFC 3164)，并支持UDP/TCP/SNMP几种方式的日志输入。

它默认是个免费的功能受限版（但功能基本够用了，只是没有找到汉化），自带发送模拟器﹑日志浏览器等实用工具。

我还测试了一下把ACE日志写到syslog的功能。

过程记录如下：1）使用klog工具这个主要用到kiwisyslog的klog实用工具(这个工具同时提供dll库的调用方式,真是好东西，我决定以后在我的应用里都用它！)，它支持直接或用重定向的方法输出日志到kiwisyslog。

klog –m "It's almost lunchtime"DIR *.* | klog -h 192.168.1.2 -i但我试图使用ACE应用日志输出到kiwisyslog时（ace_app.exe | klog -h 192.168.1.2 -i的形式），发现日志内容里前后有乱码出现，即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题；并且不能按时间一行一行的输出，而是等应用程序执行结束时一股脑输出到kiwisyslog（按回车换行切开成一条一条日志）。

如果程序非正常结束，还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);然后按下面2）的方法转到kiwisyslog。

2）还可以把Windows下的事件日志转到Linux下的syslog我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。

windows 2012 配置syslog日志转发概述及解释说明1. 引言1.1 概述本文旨在探讨Windows Server 2012中配置syslog日志转发的方法。

随着信息技术的迅速发展，企业对于日志管理和安全审计的需求也越来越重要。

而syslog作为一种标准化的日志传送协议，可以将系统和应用程序生成的日志事件转发到集中式服务器进行集中管理和分析。

本文将介绍如何在Windows Server 2012上配置syslog日志转发，以满足企业对于日志集中管理的需求。

1.2 文章结构本文将按以下结构组织内容：- 引言：介绍本文的目的和结构。

- 配置syslog日志转发的必要性及作用：论述为什么需要配置syslog日志转发以及它的作用与优势。

- Windows Server 2012中配置syslog日志转发的方法：详细介绍在Windows Server 2012上如何完成syslog日志转发的配置过程。

- 相关注意事项和常见问题解答：提供一些配置过程中需要注意的事项，并解答一些常见问题。

- 结论：总结全文内容，展望未来发展方向。

1.3 目的通过阅读本文，读者将了解到在Windows Server 2012中实现syslog日志转发所需的步骤和方法，并且理解syslog日志转发在企业中的重要性以及其带来的好处。

同时，本文还将帮助读者识别和解决在配置过程中可能遇到的一些常见问题，以确保配置顺利完成并保证日志的准确传递和管理。

以上是“1. 引言”部分内容，旨在引导读者进入本文主题，并提供对整篇文章涉及内容的概述。

2. 配置syslog日志转发的必要性及作用2.1 什么是syslog日志转发Syslog是一种标准的网络协议，用于收集、传输和存储各种设备和应用程序生成的系统日志信息。

而syslog日志转发则是指将这些系统日志从源设备或应用程序发送到目标服务器或存储位置的过程。

通过配置syslog日志转发，可以实现集中管理和分析各个设备和应用程序产生的日志数据。

syslog使用方法一、什么是syslogsyslog是一种系统日志记录协议，用于在计算机网络上发送、接收和存储系统日志消息。

它可以帮助系统管理员监控和分析系统运行状态，诊断和解决问题，以及进行安全审计。

syslog可以用于各种操作系统和设备，如Unix、Linux、Windows、路由器、交换机等。

二、syslog的基本原理syslog的基本原理是通过网络传输日志消息。

它由三个主要组件组成：发送方（syslog client）、接收方（syslog server）和日志消息（syslog message）。

1. 发送方（syslog client）：发送方负责收集系统日志消息并将其发送到接收方。

发送方可以是操作系统的日志服务，也可以是应用程序或设备的日志功能。

2. 接收方（syslog server）：接收方是用于接收和存储日志消息的服务器。

它通常由系统管理员设置并运行在网络中的一台服务器上。

接收方可以收集来自多个发送方的日志消息，并对其进行存储、过滤和分析。

3. 日志消息（syslog message）：日志消息是由发送方生成的系统日志。

它包含了记录的事件、时间戳、设备信息、日志级别等重要信息。

日志消息可以根据不同的设备和应用程序进行格式化。

三、syslog的配置和使用步骤1. 配置发送方（syslog client）：- 在发送方上找到并编辑syslog配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

- 添加或修改配置项以指定syslog服务器的IP地址和端口号。

例如：*.* @192.168.1.100:514。

- 保存配置文件并重启syslog服务，使配置生效。

2. 配置接收方（syslog server）：- 在接收方上安装syslog服务器软件，如rsyslog、syslog-ng 等。

- 打开syslog服务器的配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

让Windows主机发送SysLOG的方法神州泰岳软件股份有限公司UltraPower Software Co.,Ltd.2013年9月一、概述 (3)二、使用软件 (3)1.E VENTLOG TO S YSLOG U TILITY (3)2.3CDAEMON (3)三、具体步骤 (3)1.下载EVTSYS_EXE_32.ZIP，解压 (3)2.拷贝解压文件 (3)3.配置EVTSYS (3)4.启动服务 (4)5.更改配置 (4)6.安装3CDAEMON (4)7.配置3CDAEMON的SYSLOG服务 (4)8.验证 (5)一、概述Linux主机和网络设备都能够通过配置SYSLOG，发送到接受syslog的服务器上，默认情况下windows主机无法将系统日志通过SYSLOG发送，要借助第三方工具。

二、使用软件1.Eventlog to Syslog Utilityevtsys_exe_32.zip或evtsys_exe_64.zip下载地址：https:///ECN/Resources/Documents/UNIX/evtsys/evtsys_exe_32.ziphttps:///ECN/Resources/Documents/UNIX/evtsys/evtsys_exe_64.zip2.3cdaemon通过3cdaemon，配置成Syslog服务器，收集客户端的Syslog。

三、具体步骤1.下载evtsys_exe_32.zip，解压2.拷贝解压文件将解压后的文件拷贝到发送syslog的windows主机的%systemroot%\system32目录下。

3.配置evtsys通过命令行输入：evtsys -i -h hostnamehostname为syslog服务器的主机名或IP地址，命令成功运行后会在系统增加EventLog to Syslog服务。

4.启动服务通过命令行输入：net start evtsys来启动服务。

Windows Syslog Server 安装与配置
目录
1基本要求 (1)
2安装过程 (1)
3日志自动归档存储 (5)
4测试结果 (9)
5其他功能 (9)
1基本要求
操作系统：windows
Syslog server：/
依赖安装包：.Net 4.0
2安装过程
本例中使用windows 7 x64操作系统并提前安装.Net 4.0，之后直接双击syslog server 软件安装包，如下图参考：
下图不必理会，会自动完成
如下图，软件安装完成。

通过开始菜单打开syslog server软件界面，如下
打开cmd命令行窗口，执行netstat -a | find “514”，如输出所示，表示udp514已开启
至此，syslog server安装完成。

默认配置下，接收到的日志，将显示在软件的窗口上同时保存到软件安装目录下的syslog.txt文件中。

3日志自动归档存储
目标：将来自不同源IP的日志消息存储到独立的日志文件中。

同时按日志大小进行归档存储，例如，每个日志文件超过10M将进行归档存储。

之后，一路点”OK”
至此，配置完成。

4测试结果
5其他功能
如下可见，还可以基于优先级，日期，消息内容进行条件判断
匹配条件后，可以显示，保存，转发其他syslog server，发送邮件。

更多功能请自行研究。

利⽤SyslogWatcher在windows下部署syslog⽇志服务器1.概述syslog协议是各种⽹络设备、服务器⽀持的⽹络⽇志记录标准。

Syslog消息提供有关⽹络事件和错误的信息。

系统管理员使⽤Syslog进⾏⽹络管理和安全审核。

通过专⽤的syslog服务器和syslog协议将来⾃整个⽹络的事件记录整合到⼀个中央存储库中，对于⽹络安全具有重⼤意义，syslog⽇志服务器可收集，解析，存储，分析和解释系统⽇志消息给专业⽹络安全管理员，有助于提⾼⽹络的稳定性和可靠性。

通过Syslog Watcher可在windows平台搭建⽇志集中服务器，便于管理并满⾜合规需求。

2.安装服务端可前往下载软件并安装。

在Syslog Watcher部署完成后需对其配置进⾏修改，主要修改如下：将编码格式修改为UTF-8不然会出现⽇志乱码问题。

可⾃定义监听端⼝3.安装客户端本⽂使⽤作为windows⽇志⼿机客户端，可前往下载软件并安装。

在部署完成后需对nxlog.conf配置⽂件进⾏修改，主要修改如下：Panic Soft#NoFreeOnExit TRUEdefine ROOT D:\nxlog #安装路径define CERTDIR %ROOT%\certdefine CONFDIR %ROOT%\confdefine LOGDIR %ROOT%\datadefine LOGFILE %ROOT%\data\nxlog.log #⽇志路径LogFile %LOGFILE%Moduledir %ROOT%\modulesCacheDir %ROOT%\dataPidfile %ROOT%\data\nxlog.pidSpoolDir %ROOT%\data<Extension _syslog>Module xm_syslog #syslog服务</Extension><Input in>Module im_msvistalog #对windowsvista及以上适⽤ReadFromLast FALSESavePos FALSE# Query <QueryList>\# <Query Id="0">\# <Select Path="Application">*</Select>\# <Select Path="System">*</Select>\# <Select Path="Security">*</Select>\# </Query>\# </QueryList></Input><Output out> #输出到远程⽇志服务器Module om_udpHost 10.10.0.36Port 514Exec to_syslog_snare();</Output><Output out2> #输出到远程⽇志服务器Module om_udpHost 10.10.0.37Port 666Exec to_syslog_snare();</Output><Route 1> #输出规则Path in => out</Route><Route 2> #输出规则Path in => out2</Route>#<Extension _charconv># Module xm_charconv# AutodetectCharsets gb2312# AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32#</Extension><Extension _exec>Module xm_exec</Extension><Extension _fileop>Module xm_fileop# Check the size of our log file hourly, rotate if larger than 5MB<Schedule>Every 1 hourExec if (file_exists('%LOGFILE%') and \(file_size('%LOGFILE%') >= 5M)) \file_cycle('%LOGFILE%', 8);</Schedule># Rotate our log file every week on Sunday at midnight<Schedule>When @weeklyExec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);</Schedule></Extension>。

windows下搭建syslog服务器及基本配置⼀、环境windows7 64位+ kiwi_syslog_server_9.5.0kiwi_syslog百度云下载地址:链接: https:///s/1EpPBNsL1RVXceHeQoce1Ag 提取码: 6j9w⼆、安装syslog服务器2.1 双击安装⽂件2.2 下⼀步到了如下，去掉勾选2.3 ⼀直下⼀步，知道结束2.4 关闭syslog后台服务2.5 打开keygen注册机⽂件2.6 将以下俩个⽂件覆盖掉C:\Program Files (x86)\Syslogd⾥2.7 打开syslog主程序，help–>enter license details2.8 选择⼿⼯激活（在安装⽬录中打开KiwiSyslogLicensor.exe⽂件）2.9 复制机器码2.10 打开keygen.exe，将机器码复制进去，⽤户名随机，点击generate，⽣成lic⽂件2.11 在2.9的截图⾥，点击Browser，选择2.10⽣成的license⽂件，即可激活成功三、常⽤配置3.1 测试syslog服务是否能接收正常，给⾃⼰发送⼀条⽇志信息3.2 syslog⽂件保存⽬录查看file–>setup–>点击log to file，右侧便是存放路径。

注意%DateISO显⽰当天⽇期;%IPAdd4显⽰来源3.3 开启⽇志⽂件循环功能，即可设定每隔多久或者⽂件达到多⼤就另起⼀个保存⽇志⽂件3.4 更改输⼊的字符编码为utf-8，防⽌有中⽂显⽰乱码3.5 软件内的窗⼝之显⽰⽇志，不保存。

3.6 开启定期保存⽇志⽂件，如每天5点将E:\Syslogd\Logs⽂件夹⾥的⽂件复制到E:\Syslogd\Dated Logs\当天⽇期\⽂件夹下，设置截图如下：。

Syslog 安装文档前言目录前言 (1)目录 (1)1规划 (2)2安装 (3)2.1安装前准备 (3)步骤1 (3)步骤2： (3)步骤3 (3)2.2安装rsyslog软件 (4)步骤1： (4)步骤2： (4)步骤3： (4)步骤4： (4)步骤5： (4)步骤6： (4)步骤7： (4)注意： (4)2.3安装loganalyzer (4)步骤1： (5)步骤2： (5)步骤3： (5)步骤4： (5)步骤5： (5)注意： (5)异常处理 (6)3配置 (6)3.1配置rsyslog（服务端） (6)步骤1： (6)步骤2： (7)步骤3： (10)3.2配置rsyslog（客户端） (11)步骤1： (11)异常处理 (11)4常见问题 (11)rst2man 组件包的安装 (11)步骤1 ： (11)步骤2： (12)步骤3： (12)1规划1.1系统规划（）客户端规划：数据库2安装2.1安装前准备步骤1：使用二进制上传方式将以上所需要的包传到服务端与客户端的目录/opt下步骤2：解压上传的包例子：tar –zxvf json-c-0.9.tar步骤3：进入解压目录进行安装例子：cd json-c-0.9./configuremakemake checkmake install注意：1.）安装包的时候应按顺序安装，如在configure 过程中出错请先解决再重新执行。

2.）安装完成后请确认PATH中已经加入了相应的路径3.）64位系统需加上参数CC="gcc -m64" 与--libdir=/usr/lib64请确认规划中的包都有安装，如没有安装请按上面的步骤将所有列出的包都进行安装2.2安装rsyslog软件安装步骤：步骤1：使用ftp二进制方式上传到服务器上步骤2：解包到当前目录tar -zxvf rsyslog-7.4.7.tar.gz步骤3：生成配置文件./configure --prefix=/opt/rsyslog --enable-mysql注意：配置过和中有可能会报出一些包没有安装或路径没有正确配置，请根据提示安装包和配置路径。

常见Windows日志转SYSLOG工具介绍-----------------------------------------------------作者：张百川（网路游侠）网站：欢迎转载，但请注明出处。

谢谢！-----------------------------------------------------随着信息技术的高速发展，网络中的设备越来越多的，渐渐的我们发现依赖传统手段去一台台分析设备（路由器、交换机、防火墙、服务器、数据库、中间件等）的日志已经严重影响了我们的工作效率，并无法对业务系统的可用性提供保障。

总是在问题出现之后才充当救火员的角色。

所以，是时候对运维日志进行集中管理了。

关键词：syslog日志管理如第一段文字所说，运维日志有很多种，今天我们先说如何进行Windows日志的发送，毕竟这个毕竟容易下手……游侠会在近期撰写服务端的一些文字。

Windows操作系统本身是可以产生很多日志的，如每次插拔U盘、服务的重启等，都会产生日志，这些信息会记录在操作系统中，但Windows不像交换机、Linux那样自带syslog，而Windows系统自身的日志又不支持转发，所以要想收集Windows日志，必须安装Agent。

用其将Windows的系统日志、安全日志、应用日志等转换为syslog然后转发给我们的服务器端。

OK，现在我们说几款常见的Windows日志转SYSLOG工具，游侠选择了开源或免费的工具，所以……放心的用吧！1.evtsys1.1.说明Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。

它支持Windows Vista和Server 2008，支持32和64位环境。

evtsys被设计用于高负载的服务器，Evtsys快速、轻量、高效率。

并可以作为Windows服务存在。

1.2.下载/p/eventlog-to-syslog/downloads/list1.3.配置Evtsys的安装本来是要拷贝文件、cmd输入命令的，但是还是比较麻烦，游侠这里用批处理解决！Evtsys有两个版本，安装目录不同，这里分开说明：1.3.1.32位系统evtsys安装copy evtsys.exe c:\windows\system32\copy evtsys.dll c:\windows\system32\cd c:\windows\system32evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys1.3.2.64位系统evtsys安装copy evtsys.exe c:\windows\SysWOW64\copy evtsys.dll c:\windows\SysWOW64\cd c:\windows\SysWOW64evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys我们可以看到32位系统下是把文件复制到c:\windows\system32\目录，而在64位系统下是复制到c:\windows\SysWOW64\目录。

SuseWindows发送syslog配置Syslog被⼴泛应⽤于系统⽇志中。

基于此种场景，⽹络中的各种设备可以将系统⽇志以syslog的格式发送给⽇志服务器，记录和存储⽇志。

Suse和Windows是2类使⽤syslog记录系统⽇志的典型系统，下⾯是配置它们发送syslog的⽅法。

1. 配置Windows发送syslogWindows系统⾃带默认服务中并⽆发送syslog的配置功能。

所以，需要借助⼯具来实现Windows系统发送syslog到⽇志服务器的场景。

1.1 Windows系统发送syslog配置⼯具evtsys下载下载官⽅地址：1.2 evtsys⼯具配置⾸先，需把下载好的安装包解压。

解压到任意⽬录，⽐如：D:\evtsys\evtsys.exe。

然后，调出cmd命令窗。

cd到当前⽬录，执⾏evtsys.exe命令，指定syslog服务器地址和端⼝号。

evtsys.exe -i -h 192.168.10.100 -p 514注：-h ⽬的⽇志服务器的接⼝IP； -p ⽬的⽇志服务器的端⼝，默认为514。

1.3 启动evtsys服务完成配置之后，启动evtsys服务。

net start evtsys这样，就完成了Windows服务器上的syslog发送配置和启动。

并且，即使计算机重启，该服务也会默认开机启动。

1.4 停⽌evtsys服务停⽌evtsys服务同样是在cmd⾥执⾏：net stop evtsys命令窗回显：Eventlog to Syslog 服务已成功停⽌。

1.5 卸载evtsys服务evtsys.exe -uCommand completed successfully其他的譬如，⽇志对接和测试，这⾥就不赘述了。

2. 配置Suse发送syslog2.1 syslog配置⽂件修改Suse主机192.168.10.11上的syslog配置⽂件：vi /etc/rsyslog.conf检查⽂件⾥的配置，如果没有配置过syslog外发，可以直接在⽂件的最后添加上配置：*.* @192.168.10.100:514然后保存，退出。