WINDOWS的SYSLOG配置方法

Windows事件接入需要在windows系统上安装应用程序 SEMCollector ，具体安装方法如下：

1、将SEMCollector文件解压后运行setup.exe，按照提示后进行安装，如下图所示：

1)点击“下一步”

2)建议安装在默认目录，点击“下一步”

3)点击“下一步”

4)点击“下一步”

5)点击“安装”

6)点击“完成”

2.2.2SEMCollector配置方法

（1）打开配置文件“SEMCollectCfg.xml”目录为：“C:\Program Files\LinkTrust\SEMCollector\conf”文件内容如下：

Windows

windows

Syslog

192.168.25.168

514

Local0

IIS

IIS

C:\WINNT\system32\LogFiles\MSFTPSVC1

ex%YY%MM%DD.log

C:\WINNT\system32\LogFiles\SMTPSVC1

ex%YY%MM%DD.log

C:\WINNT\system32\LogFiles\W3SVC1

ex%YY%MM%DD.log

Syslog

192.168.25.168

514

Local1

（2）将文件中标红处改为采集机IP地址后保存，重启SEM-COLLECTOR服务即可。

注：安装完成后会在系统服务中生成名为“SEM-COLLECTOR”的服务，另添加桌面快捷方式，请根据情况在安装时进行选择。

附：通过services.msc重新启动SEMCollector服务

●启动SEMCollector服务：桌面 -> 右键我的电脑 -> 管理 -> 服务和

应用程序 ->服务（查找服务名称为“SEM-COLLECTOR”将服务启动）

●关闭SEMCollector服务：桌面 -> 右键我的电脑 -> 管理 -> 服务和

应用程序 ->服务（查找服务名称为“SEM-COLLECTOR”将服务关闭）

2.2.3系统运行及登陆、登出日志接入方法

2.2.

3.1 日志记录设置步骤

1、进入“控制面板”-“管理工具”-“本地安全策略”

2、在“本地策略”-“审核策略”中打开所有策略的成功和失败审核。

1)将本地安全策略--本地策略--审核策略--审核帐户登录事件设置为成功、失败都记录

2)将本地安全策略--本地策略--审核策略--审核帐户管理事件设置为成功、失败都记录

3)将本地安全策略--本地策略--审核策略--审核策略更改事件设置为成功、失败都记录

4)将本地安全策略--本地策略--审核策略--审核登录事件设置为成功、失败都记录