创建Windows下面的syslog日志服务器

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

搭建rsyslog⽇志服务器环境配置centos7系统 client1：192.168.91.17centos7系统 master：192.168.91.18rsyslog客户端配置1、rsyslog安装yum install rsyslog2、启⽤UDP进⾏传输vim /etc/rsyslog.conf# Provides UDP syslog reception #若启⽤UDP进⾏传输，则取消下⾯两⾏的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若启⽤TCP进⾏传输，则取消下⾯两⾏的注释#$ModLoad imtcp#$InputTCPServerRun 514*.* @192.168.28.149:514 #若启⽤TCP传输则使⽤@@，若是UDP则使⽤@3、重启rsyslog服务systemctl restart rsyslogrsyslog服务端配置1、启⽤UDP/TCP进⾏传输vim /etc/rsyslog.conf# Provides UDP syslog reception #若启⽤UDP进⾏传输，则取消下⾯两⾏的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若启⽤TCP进⾏传输，则取消下⾯两⾏的注释#$ModLoad imtcp#$InputTCPServerRun 5142、重启rsyslog服务systemctl restart rsyslog测试服务是否能够将客户端的系统⽇志传回服务端1、在服务端不间断输出系统⽇志⽂件tailf /var/log/messages第⼆：在客户端使⽤logger⽣成测试⽇志信息（并查看服务器端输出，判断是否通过⽹络将⽇志收集到了）logger "rsyslog test"Rsyslog搭建中⼼⽇志服务器默认配置下，接收到的⽇志写⼊服务端对应的⽇志⽂件⾥，如：如果涉及到了secure⽇志的记录，就会写到服务器端的/var/log/secure⾥⾯，也就是客户端⾃⼰写⼀份然后再往服务器端写⼀份。

Syslog服务器的设置
首先在一个PC上安装syslog软件。

目前syslog软件可以运行在Windows、Linux和Unix 上，请随便做一个syslog服务器。

我们推荐一个运行在Windows平台上的syslog服务器软件，kiwi-syslog。

请到下面的站点下载：
然后在防火墙上作如下设置：
Kiwi_SysLog服务器日志设置
使用Kiwi_SysLog软件可以把日志进行分类存储，如按照日志的时间进行存储。

具体的设置方法如下：
日期：yyyy-mm-dd 时间：hour
具体的设置请看“Insert AutoSplit value”
●如上图的设置，日志的记录将会是这样的：
其中D:\Logs\2004-03-14\表示每天的日志，在每天的日志中，LOG_15表示下午三点的记录，LOG_16表示下午四点的记录，依此类推。

这样就可以分别记录。

●如果要对日志进行查询、排序等工作，需要用到微软的Access数据库进行处理。

具体的操作是“文件”→“新建”→“空数据库”→“文件”→“获取外部数据”→“导入”→然后选择日志文件→选择“带分隔符”→选择“分号”→“完成”。

背景：因为项目需要，现使用syslog-ng搭建一台日志服务器，简单来说就是利用我们现有的虚拟机中的syslog-ng服务，搭建一台用于专名存放其他虚拟机（也包括自己）所产生的日志。

由于一些用户以后将没有权限直接访问我们的ebackup 服务器，但又需要查看日志。

便可以用过这台日志服务器来查看。

日志服务器中的日志目录按照一定的规则设定，如“日期+主机名”等自行设定。

Syslog-ng介绍：规则，实现更好的过滤功能。

本次日志服务器的搭建是用的syslog-ng，关于syslog的具体描述可以参考下面的链接。

/subview/1614723/1614723.htm1、syslog-ng的配置说明syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf中。

首先需要简单介绍一下syslog-ng的架构。

yslog-ng.conf中所有配置都是基于syslog-ng 的这样一种架构：LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』即：消息路径『消息源－过滤器－目的站』也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。

（1）、消息源source格式为：source { sourcedriver params; sourcedriver params; ... };一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器消息源有以下几种：file (filename) ：从指定的文件读取日志信息unix-dgram (filename) ：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息unix-stream (filename) ：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息udp ( (ip),(port) ) ：在指定的UDP端口接收日志消息tcp ( (ip),(port) ) ：在指定的TCP端口接收日志消息sun-streams (filename) ：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息internal() ： syslog-ng内部产生的消息pipe(filename),fifo(filename) ：从指定的管道或者FIFO设备，读取日志信息例如：source s_sys {file ("/proc/kmsg" log_prefix("kernel:"));unix-stream ("/dev/log");internal();); };参数需要使用括号括住。

业务聚合平台SYSLOG部署方案一、方案部署背景该项目涉及设备数量包括服务器75台、网络交换机4台、光纤交换机2台、存储1台。

设备的日志信息是查看设备运营情况的最重要渠道。

若每台的去监控及查看，将带来巨大的工作量。

搭建一台syslog能有效缓解该问题。

二、实施目的1．服务器日志集中存放到日志服务器和MySQL数据库中；2．每天发送一封E-MAIL, 报告异常日志条目；3．实时报告异常系统事件；4．WEB界面查询日志；三、硬件环境：CPU:4*4内存：16G磁盘：100G四、系统环境：操作系统：RHEL5.5 64bitIP：192.168.146.30五、实施步骤1、安装所属包：syslog20111106.tar.gzsyslog20111106.tar.gz2、配置yum服务器(省略)3、搭建LAMP环境(省略)4、安装syslog-ng#rpm -ivh libdb*#rpm -ivh libevtlog0-0.2.8-1.i386.rpm#rpm -ivh syslog-ng-2.1.3-1.i386.rpm#rpm -ivh msttcorefonts-2.0-1.noarch.rpm# mkdir -p /usr/share/fonts/truetype/msttcorefonts/#cp /usr/share/fonts/msttcorefonts/verdana* /usr/share/fonts/truetype/msttcorefonts/.5、配置syslog.conf# vi /etc/syslog-ng/syslog-ng.confsyslog-ng.conf6、重启syslog-ng# /etc/rc.d/init.d/syslog-ng restart7、安装php-syslog-ng#yum install php-gd php-mysql php-pdo#tar zxvf php-syslog-ng-2.9.8.tgz –C /var/www/html/.#cd /var/www/html/ php-syslog-ng#chown –R apache:apache html#cd scripts替换脚本中的文件实际路径（方法：perl -i -pe 's/\/www\/php-syslog-ng/\<newpath>/g' *）#perl -i -pe 's/\/www\/php-syslog-ng/\/var\/www\/html/g' *期间的报错可以忽略8、创建数据库及用户，脚本如下(该步骤可不操作)：vi syslog-ng.sqlCREATE DATABASE syslog;USE syslog;CREATE TABLE logs (host varchar(32) default NULL,facility varchar(10) default NULL,priority varchar(10) default NULL,level varchar(10) default NULL,tag varchar(10) default NULL,date date default NULL,time time default NULL,program varchar(15) default NULL,msg text,seq int(10) unsigned NOT NULL auto_increment,PRIMARY KEY (seq),KEY host (host),KEY seq (seq),KEY program (program),KEY time (time),KEY date (date),KEY priority (priority),KEY facility (facility)) TYPE=MyISAM;CREATE USER syslogadmin identified BY ;syslogadmin;GRANT ALL ON syslog.* TO 'syslogadmin'@'%';UPDATE user SET password=PASSWORD(‘root’) WHERE user=’root’;FLUSH PRIVILEGES;9、编辑/etc/syslog-ng/syslog-ng.conf文件，添加以下内容destination d_mysql {program("/usr/bin/mysql -usyslogadmin -psyslogadmin syslog"template("INSERT INTO logs (host, facility, priority, level, tag, datetime, program, msg)VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY$HOUR:$MIN:$SEC', '$PROGRAM', '$MSG' );\n")template-escape(yes));};log {source(s_remote);destination(d_mysql);};10、修改/etc/pho.ini文件将display_errors = Off更改为display_errors = On ;将magic_quotes_gpc = Off更改为magic_quotes_gpc = On ;将memory_limit = 8M更改为memory_limit = 256M ;将max_execution_time = 30更改为max_execution_time = 9011、修改/etc/http/http.conf文件将DocumentRoot "/var/www/html"修改为DocumentRoot "/var/www/html/php-syslog-ng/html"将#ServerName :80修改为ServerName 192.168.146.30:8012、重启http服务13、配置php-syslog-ng在浏览器输入http://192.168.146.30/htmlScreen 1: 点击next开始安装；Screen 2: 选择接受协议后点击next继续；Screen 3: 输入数据库ROOT用户密码，其它可以保持默认(你可以不选择"install sample data" box) ，点击Next 继续；点击ok继续...Screen 4:输入站点名称后点击next继续；Screen 5: 输入email地址和admin的密码外，其它可以保持默认，点击next继续；Screen 6: 如果选择安装用于收集Cisco ERROR TABLE的数据，将会弹出如下安装对话框(可选)点击Install CEMDB继续... (如果点击install CEMDB不工作，请使用Firefox进行安装。

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）注:配置日志服务器前先检查是否已安装了SYSLOG服务执行 ps -e |grep syslogd 查看进程是否存在没有安装 # apt-get install syslogd 安装,或下载用安装包H3C交换机的设置举例1. 组网需求将系统的日志信息发送到 linux 日志主机；日志主机的IP 地址为 1.2.0.1/16；信息级别高于等于 informational 的日志信息将会发送到日志主机上；日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图3. 配置步骤(1) 设备上的配置。

# 开启信息中心。

<Sysname> system-view[Sysname] info-center enable# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。

可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。

Windows主机下安装syslog日志客户端一、为什么使用日志客户端对于unix类主机以及交换机、路由器、防火墙等的日志记录，都可以通过syslog协议记录传输，但是Windows操作系统本身是可以产生很多日志的，如用户的登录、服务的重启等，都会产生日志，这些信息会记录在操作系统中，不支持把日志发送到syslog服务器去，所以要安装第三方软件转换Windows的日志。

二、Evtsys介绍Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。

它支持Windows 2000、2003、Vis、XP和Server 2008，并且编译后支持32和64位环境。

它被设计用于高负载的服务器，Evtsys快速、轻量、高效率。

并可以作为Windows服务存在。

下载地址：/p/eventlog-to-syslog/三、Evtsys安装以及配置1.从官网点击download选择32位或者64位下载（此处以32位为例）2.下载后解压文件，Readme.rtf为说明文件，其余两个为程序文件32位系统evtsys安装copy evtsys.exe c:\windows\system32\copy evtsys.dll c:\windows\system32\cd c:\windows\system32evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys64位系统evtsys安装copy evtsys.exe c:\windows\SysWOW64\copy evtsys.dll c:\windows\SysWOW64\cd c:\windows\SysWOW64evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys3.开启系统相关审计打开windows组策略编辑器(开始->运行输入gpedit.msc) 在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

Windows事件接入需要在windows系统上安装应用程序 SEMCollector ，具体安装方法如下：1、将SEMCollector文件解压后运行setup.exe，按照提示后进行安装，如下图所示：1)点击“下一步”2)建议安装在默认目录，点击“下一步”3)点击“下一步”4)点击“下一步”5)点击“安装”6)点击“完成”2.2.2SEMCollector配置方法（1）打开配置文件“SEMCollectCfg.xml”目录为：“C:\Program Files\LinkTrust\SEMCollector\conf”文件内容如下：<?xml version="1.0" encoding="GB2312"?><CONFIGURATION><SYSTEM><SYSTEMNAME>Windows</SYSTEMNAME><SYSTEMTYPE>windows</SYSTEMTYPE><LOGPATH></LOGPATH><LOGFORMAT></LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local0</PARAM></ACTIONPARAM></SYSTEM><SYSTEM><SYSTEMNAME>IIS</SYSTEMNAME><SYSTEMTYPE>IIS</SYSTEMTYPE><LOGPATH>C:\WINNT\system32\LogFiles\MSFTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\SMTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\W3SVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local1</PARAM></ACTIONPARAM></SYSTEM></CONFIGURATION>（2）将文件中标红处改为采集机IP地址后保存，重启SEM-COLLECTOR服务即可。

如何建立日志服务器要建立一个日志服务器，您需要考虑以下几个步骤：1.确定需求和目标：首先，确定您建立日志服务器的需求和目标。

您需要思考的问题包括：为何需要建立日志服务器？要记录什么类型的日志？日志数据的大小和持续时间预计为多少？谁将使用这些日志数据以及他们的需求是什么？等等。

2.选择合适的日志管理工具：根据您的需求，选择适合的日志管理工具。

一些常见的日志管理工具包括ELK（Elasticsearch、Logstash和Kibana）、Splunk、Graylog等。

这些工具提供了强大的、分析和可视化功能，可以帮助您更好地管理和利用日志数据。

3.选择合适的硬件和操作系统：为日志服务器选择合适的硬件和操作系统。

考虑要记录的日志数据量以及预计的流量，并确保您的硬件能够满足这些要求。

此外，选择您熟悉和喜欢的操作系统，例如Linux、Windows Server等。

4.安装和配置日志管理工具：根据您选择的日志管理工具的文档和指南，安装和配置它们。

这可能涉及到安装和配置数据库、引擎、收集代理等组件。

确保您的日志管理工具能够正确地连接到您的日志源，并能够按需记录和存储日志数据。

5.定义日志格式和字段：根据您的需求，定义适合的日志格式和字段。

这将有助于日志管理工具更好地索引和日志数据。

常见的日志格式包括CSV、JSON、Syslog等。

您可以根据需要定义自定义字段，以便更好地跟踪和分析特定的日志信息。

6.配置日志源和收集代理：根据您的需求，配置日志源和收集代理。

这可能包括为应用程序、服务器、网络设备等配置日志输出，并确保日志数据能够顺利传输到您的日志服务器。

您可以使用各种方法，如日志文件监视、Syslog、API调用等来收集日志数据。

7.设置自动化和告警：根据您的需求，设置自动化和告警机制。

例如，您可以配置自动化脚本来定期备份和归档日志数据。

您还可以设置告警规则，以便在发生重要事件或问题时及时接收通知。

8.监控和维护：定期监控和维护您的日志服务器。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

windows 2012 配置syslog日志转发概述及解释说明1. 引言1.1 概述本文旨在探讨Windows Server 2012中配置syslog日志转发的方法。

随着信息技术的迅速发展，企业对于日志管理和安全审计的需求也越来越重要。

而syslog作为一种标准化的日志传送协议，可以将系统和应用程序生成的日志事件转发到集中式服务器进行集中管理和分析。

本文将介绍如何在Windows Server 2012上配置syslog日志转发，以满足企业对于日志集中管理的需求。

1.2 文章结构本文将按以下结构组织内容：- 引言：介绍本文的目的和结构。

- 配置syslog日志转发的必要性及作用：论述为什么需要配置syslog日志转发以及它的作用与优势。

- Windows Server 2012中配置syslog日志转发的方法：详细介绍在Windows Server 2012上如何完成syslog日志转发的配置过程。

- 相关注意事项和常见问题解答：提供一些配置过程中需要注意的事项，并解答一些常见问题。

- 结论：总结全文内容，展望未来发展方向。

1.3 目的通过阅读本文，读者将了解到在Windows Server 2012中实现syslog日志转发所需的步骤和方法，并且理解syslog日志转发在企业中的重要性以及其带来的好处。

同时，本文还将帮助读者识别和解决在配置过程中可能遇到的一些常见问题，以确保配置顺利完成并保证日志的准确传递和管理。

以上是“1. 引言”部分内容，旨在引导读者进入本文主题，并提供对整篇文章涉及内容的概述。

2. 配置syslog日志转发的必要性及作用2.1 什么是syslog日志转发Syslog是一种标准的网络协议，用于收集、传输和存储各种设备和应用程序生成的系统日志信息。

而syslog日志转发则是指将这些系统日志从源设备或应用程序发送到目标服务器或存储位置的过程。

通过配置syslog日志转发，可以实现集中管理和分析各个设备和应用程序产生的日志数据。

syslogserverconfigif的方法概述在计算机网络中，sy s lo g是一种系统日志记录机制，用于收集和存储系统的运行信息。

sy s lo g服务器是一台可以接收和处理来自各个网络设备发送的sy sl og消息的服务器。

本文将介绍sy sl og se rv erc o nf ig if的方法，以帮助读者配置sy sl og服务器。

步骤1：安装syslo g服务器软件在配置s ys lo g服务器之前，首先需要安装相应的sy sl og服务器软件。

常见的s ys lo g服务器软件包括r sy sl og、sy sl og-n g等。

下面以r s ys lo g为例，介绍安装过程：1.打开终端或控制台窗口。

2.输入以下命令安装r sy sl og软件：```s u do ap t-ge ti ns tal l rs ys lo g```3.等待安装过程完成。

步骤2：配置syslo g服务器安装完成后，需要对s ys lo g服务器进行配置，以便接收和处理s y sl og消息。

以下是配置s ys lo g服务器的步骤：1.打开rs ys l o g配置文件，路径为`/et c/r sy sl og.c on f`。

2.根据实际需求，编辑配置文件。

可以指定sy sl og服务器的监听端口、接收消息的规则等。

以下是一些常见配置选项的示例：-设置监听端口为514：```$M od Lo ad im ud p$U DP Se rv er Ru n514```-编写过滤规则，将特定设备的s ys lo g消息保存到指定文件中：```i f$f ro mh os t-ip=='192.168.1.1't hen/va r/lo g/de vi ce1.lo g```3.保存配置文件并关闭。

步骤3：重启syslo g服务器完成配置后，需要重启s ys lo g服务器以使配置生效。

1.安装系统a)安装要求i.PC配置：CPU：Intel P E2160（1.8GHz）以上内存：1G以上硬盘：80G以上虚拟机要求：Kernel：linux 2.6内存：512以上硬盘：40G以上b)安装系统i.Linux syslog server要求用centos 5.5下载地址：ed2CentOS-5.5-i386-bin-DVD.iso|20|a1ce64b6d36d945f562cb1250d8d665f|h=fnfai2pqdbdxmz5i5wshkaj22ttscbkg|/c)配置网络i.点击桌面上方的系统→管理→网络，配置eth0和DNSwork Abapter修改为桥接模式2.安装工具a)安装GCC和make[root@FDWIN ~]# yum install gcc makeb)安装LAMP平台[root@FDWIN ~]# yum install php-mysql mysql mysql-server php-snmp php-pdoperl-DBDMySQL httpd php –y[root@FDWIN ~]# service mysqld start[root@FDWIN ~]# chkconfig mysqld on[root@FDWIN ~]#service httpd start[root@FDWIN ~]#chkconfig httpd on[root@FDWIN ~]# mysqladmin -uroot password '000000'[root@FDWIN ~]#vim /var/www/html/index.php添加：<?php$link=mysql_connect("localhost","root","000000");if(!$link) echo "FAILD!";else echo "OK!";?>然后网页访问下出现OK说明没问题了。

Windows Syslog Server 安装与配置
目录
1基本要求 (1)
2安装过程 (1)
3日志自动归档存储 (5)
4测试结果 (9)
5其他功能 (9)
1基本要求
操作系统：windows
Syslog server：/
依赖安装包：.Net 4.0
2安装过程
本例中使用windows 7 x64操作系统并提前安装.Net 4.0，之后直接双击syslog server 软件安装包，如下图参考：
下图不必理会，会自动完成
如下图，软件安装完成。

通过开始菜单打开syslog server软件界面，如下
打开cmd命令行窗口，执行netstat -a | find “514”，如输出所示，表示udp514已开启
至此，syslog server安装完成。

默认配置下，接收到的日志，将显示在软件的窗口上同时保存到软件安装目录下的syslog.txt文件中。

3日志自动归档存储
目标：将来自不同源IP的日志消息存储到独立的日志文件中。

同时按日志大小进行归档存储，例如，每个日志文件超过10M将进行归档存储。

之后，一路点”OK”
至此，配置完成。

4测试结果
5其他功能
如下可见，还可以基于优先级，日期，消息内容进行条件判断
匹配条件后，可以显示，保存，转发其他syslog server，发送邮件。

更多功能请自行研究。

WINDOWS下构建简单日志服务器2009-07-17 22:15作为网络的维护者，日志是我们工作中必不可少的一部分，他可以帮助我们分析设备是否正常，网络是否健康，所以任何设备或系统都应该建立完整的日志系统，这样我们就可以面对任何问题并及时解决问题了。

本文将为大家介绍WINDOWS下简单日志服务器的建立，通过这个日志服务器我们就可以掌握数据通过路由器的基本情况了。

遇到突发事件可以通过分析日志来快速解决问题。

路由器作为重要的网络设备，他的安全性至关重要，由于路由器内存容量有限，一些日志信息存储后掉电就会丢失，所以我们不能寄希望于将日志保存在路由器上。

建立日志服务器，用其记录路由器的运行状况，保存日志记录信息从而帮助我们进行故障定位，故障排除和网络安全管理。

但是在构建日志服务器的时候，很多人都是采用LINUX系统自带的SYSLOG服务来充当日志服务器。

今天我们在WINDOWS系统下构建简单的日志服务器。

第一步：我们需要下载一个软件。

下载地址：[url]ftp:///pub/utilbin/win32/3CSyslog.zip[/url]这是3COM公司出的一个日志服务器软件。

步：安装，这个不用说了，简单的很，直接NEXT 下去就OK了。

步：运行程序。

效果如下图：进行简单的配置，点击File —Configure(Ctrl+C) 可以进行一些基本的配置。

如下图所示：你可以根据自己的需要进行一些简单的配置。

到现在为止在WINDOWS 下就把日志服务器做好了。

其他还有什么不懂得可以按F1查看帮助文件。

呵呵！现在我们只需在路由器上面开启日志服务，并将日志服务器的IP地址指向本机就可以了，软件可以正常接收路由器发过来的日志信息了。

至于路由器的配置，可以查阅相关文档。

文中所需软件可以在附近中下载！！！。

如何在windows服务器中使用syslog功能By maxMail ningmax@本文转自网络，版权归原作者所有首先syslog分析工具是无法监控windows event事件的。

所以必须借助第三方工具将windows event转换为syslog格式并发给syslog服务器。

以下是常用的event转换为syslog的工具Windows日志的记录对于UNIX类主机之间记录日志，由于协议、软件和日志信息格式等都大同小异，因此实现起来比较简单，但是windows的系统日志格式不同，日志记录软件，方式等都不同。

因此，我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。

介绍第三方软件evtsys (全称是evntlog to syslog)文件才几十K大小，非常小巧，解压后是两个文件evtsys.dll和evtsys.exe把这两个文件拷贝到 c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）evtsys –i –h 192.168.10.100 （这个ip是syslog服务器的ip）-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:net start evtsys启动完成以后，当有event事件产生的时候就会把日志发送到syslog服务器上了。

同类工具还有snaresyslog工具，kiwisyslog是不错的syslog分析工具，kiwisyslog安装很简单，按照默认的安装方式几步即可完成安装，安装完毕后，点击help，然后 enter registration details，把license 复制到剪切板，点击registration即可完成试用版的注册，以下是一个30天的使用license，只需复制###号里的内容即可，并不需要特殊配置就可以在状态框查看新产生的window event 时间日志。

开启@关诩 确定syslog 参数的详细信息 Syslog 服务 器Syslog 服务器1/2 IP 地址：端口 当通过Syslog 服务器来集中监控多个NF 设备时,需要配置Syslog 服务器参数，把本地NF 设备中的F1志发送到该服务密。

关于NF 向Syslog 服务器发送的Fl 志的类型及格式的说明，请参见 错误!未找到引用源。

错误!未找到引用源… 假设：目前防火墙G1/1地址为192.168.1.1/24,日志服务器接入 防火墙G1/L 日志服务器配置192.168.1.0/24段地此 防火墙与 日志服务器连接后，日志服务器能ping 通防火墙G1/1地址 192.168.1.1,防火墙可通过syslog 方式接入日志服务器。

防火墙配置 选择菜单系统 > 系统配置 > 引擎，进入引擎配置的页面，如图 引擎分片重组 远程协助 ⑥开启。

关闭 Ping(Icmp) @开启。

关闭 Syslog 服务翳1 1叫址：端口 通信密钥: Syslog 服劳志2 1喷址:滞口 ：514 通信密钥: 时间围步 时词图步版费罟 同步间隔（秒） 首选DNS 账务器 苔用DNS 服务若 0.0.0.0 配置日志服务器地址, 端口号，通信密钥 设备名称 设备位置强制硬件bypass 。

开启◎关诩如果修改强tn外置bypassWEBB?若襦口 加入用户体妗计划WEB 管理 https:。

是@否告他协议的默认端 SSLVPN 认证https:防火搞认证⑥https: 80syslog发送的日志格式简介下面的日志格式，不同字段用“：‘分隔，每个字段由字段名和值组成。

每条日志是一个文本串。

1) web操作日志<255>user:_;loginip:_;time:_;type:_;2)入侵防护、URL过滤、防病毒日志格式，％后面表示变量：<5>time:%time;danger_degree:%type;breaking_sighn:%act;event:[ruleid]%msg;src_addr:%sip;src_port:%sport;dst_addr:%dip;dst_port:%dport;proto:%proto;user:%user3)防火墙日志格式，%后面表示变量<l>rule_id:%e[0];time:%e[l];module:%e[2];src_intf:%e[3];dst_intf:%e[4];action:%e[5];proto:%e[6];s rc_addr:%e[7];src_port:%e[8];dst_addr:%e[9];dst_port:%e[10];src_addr_nat:%e[ll];src_port_nat:%e [12];dst_addr_nat:%e[13];dst_port_nat:%e[14];info:%e[15];user:%e[18]4) vp∩日志格式，％后面表示变量module:%e[0];type:%e[l];level:%e[2];time:%e[3];clientlp:%e[4];locationlnfo:%e[5];description:%f[l]。