转一个windows下使用syslog的文章,没有时间测试了。
1 winodws 服务器的配置
1 winodws 服务器的配置
因为
windows
服务器不支持日志服务器,因此需要安装一个转换软件:
根据系统的版本下载
32
位和
64
位的程序。
解压后是两个文件
evtsys.dll
和
evtsys.exe
把这两个文件拷贝到 c:\windows\system32 目录下。
把这两个文件拷贝到 c:\windows\system32 目录下。
evtsys
命令
U
sage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i Install service ( 安装服务 )
-u Uninstall service ( 卸载服务 )
-d Debug: run as console program ( 以 debug 模式运行 )
-h host Name of log host ( 日志服务器 IP 地址 )
-p port Port number of syslogd ( 日志服务器端口,默认是 514)
-q char Quote messages with character
-i Install service ( 安装服务 )
-u Uninstall service ( 卸载服务 )
-d Debug: run as console program ( 以 debug 模式运行 )
-h host Name of log host ( 日志服务器 IP 地址 )
-p port Port number of syslogd ( 日志服务器端口,默认是 514)
-q char Quote messages with character
打开
Windows
命令提示符(开始-
>
运行
输入
CMD
)
C:\>evtsys –i –h 192.168.28.4 # (日志服务器的 IP 地址)
-i 表示安装成系统服务
-h 指定 log 服务器的 IP 地址
C:\>evtsys –i –h 192.168.28.4 # (日志服务器的 IP 地址)
-i 表示安装成系统服务
-h 指定 log 服务器的 IP 地址
启动该服务
:
C:\>net start evtsys
C:\>net start evtsys
打开
windows
组策略编辑器
(
开始
->
运行
输入
gpedit.msc)
在 windows 设置- > 安全设置 - > 本地策略- > 审核策略中,打开你需要记录的 windows 日志。 evtsys 会实时的判断是否有新的 windows 日志产生,然后把新产生的日志转换成 syslogd 可识别的格式 , 通过 UDP 3072 端口发送给 syslogd 服务器。 OK, 所有的配置 windows 端配置完成 .
在 windows 设置- > 安全设置 - > 本地策略- > 审核策略中,打开你需要记录的 windows 日志。 evtsys 会实时的判断是否有新的 windows 日志产生,然后把新产生的日志转换成 syslogd 可识别的格式 , 通过 UDP 3072 端口发送给 syslogd 服务器。 OK, 所有的配置 windows 端配置完成 .
如果要卸载
evtsys,
则:
net stop evtsys
evtsys -u
net stop evtsys
evtsys -u
2
优先级
优先级是选择条件的第二个字段,它代表消息的紧急程度。对一个应用程序来说,它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的,应用程序的
使用者只能接受这样的安排
——
除非打算重新编译系统应用程序。表
2
按严重程度由低到高的顺序列出了所有可能的优先级。
|
优先级
|
含义
|
符号
|
SYSLOG
序列号
|
|
debug
|
调试级
-
信息量最多
|
LOG_DEBUG
|
7
|
|
info
|
通知性消息
|
LOG_iINFO
|
6
|
|
notice
|
普通但重要的消息
|
LOG_NOTICE
|
5
|
|
warning
|
警告消息
|
LOG_WARING
|
4
|
|
err
|
出错消息
|
LOG_ERR
|
3
|
|
crit
|
重要消息
|
LOG_CRIT
|
2
|
|
alert
|
紧急消息
|
LOG_ALERT
|
1
|
|
emerg
|
最紧急消息
|
LOG_EMERG
|
0
|
什么是Syslog?
顾名思义Syslog就是Sys Log - 系统日志。在RFC 3164中定义了syslog是一种日志协议,syslog数据包的大小为1024字节,包含Facility, Severity, Hostname, Timestamp和Message信息。syslog服务器默认使用UDP 514号端口。简单的说,syslog可以告诉管理员:谁(Facility),什么时间(Timestamp),什么地方(Hostname)做了什么事情(Message),以及这个事情的重要性(Severity)。
Syslog中的Facility就是谁,它可以是操作系统的内核,邮件服务,Web服务器,打印机等等。RFC 3164 定义用数字来表示不同的Facility,其中16-18可为自定义的(比如Cisco就用local4发送PIX防火墙的syslog,用local7发送3000VPN集中器的syslog),具体
为什么要Syslog化Windows的Event日志?
Windows有自己的日志协议,称为Event Log。日志查看器为Event Viewer (右键点击我的电脑,选择管理),界面如下。
有的朋友会问,好好的Windows日志为什么要把它转成Syslog呢?呵呵,当Windows服务器比较少的时候,我们是不需要这样做的。但试想如果你管理着成千上百台的Windows机器,你会一台一台的登录上去用Event Viewer查看吗?为什么不建立一台中心Syslog服务器来接受所有的Windows,Linux,网络设备等等发送来的日志呢?这样你可以轻松地在一台日志服务器上管理所有的日志。比如Splunk就是一个很好的免费日志服务器,它不仅可以接受多种方式发送来的日志(包括syslog),而且还提供功能很强大的搜索(被称为Google for IT),图形化等功能。
扫一扫
1533
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
