日志分析-2.发送windows日志到一个远程的rsyslog服务器上

日志分析-2.发送windows日志到一个远程的rsyslog服务器上

要将一个Windows客户端的日志消息转发到我们的rsyslog服务器，需要一个安装 Windows syslog 代理。

1.SyslogAgent

http://download.cnet.com/Datagram-SyslogAgent/3000-2085_4-10370938.html

2.安装SyslogAgent

这里省略安装步骤

 

3.相应的设置

需要将其配置为作为服务运行,连接install，点

Rsyslog 服务器如何配置，请查看

http://yuanji6699.blog.51cto.com/11568362/1775019

 

击后配置rsyslog服务器ip，端口

配置要监控的日志类型 event logs

 

4.点击 start Service

之后在服务器192.1368.10.222 查看/var/log/message

可以看到日志已经传送过来

May 19 12:52:30 YUANJImicrosoft-windows-security-auditing[success] 5158

May 19 12:53:33 YUANJImicrosoft-windows-security-auditing[success] 5156 Windows

 

【有个问题没有解决】

Window传送过来的是乱码，不知道怎么解决，有知道高手可以指点一下。

May 19 12:44:30 YUANJI microsoft-windows-security-auditing[success]5156 Windows #015#177#015#177:#015#177#011ID:#011#0114192#015#177#011015#177\devi

ce\harddiskvolume1\windows\system32\svchost.exe#015#177#015#177:#015#177#011:#011#011%14592#015#177#011:#011#011239.255.255.250#015#177#011:#011#0111900#015#177#011:#

011192.168.8.52#015#177#011011#01162086#015#177#011Э011#01117#015#177#015#177:#015#177#011ID:#0110#015#177#011011#011%14610#015#177#011 ID:#01144

 

May 19 12:44:30 YUANJImicrosoft-windows-security-auditing[success] 5156 Windows #015#177#015#177:#015#177#011ID:#011#0114#015#177#011011System#015#1

77#015#177:#015#177#011:#011#011%14593#015#177#011:#011#011192.168.8.23#015#177#011:#011#0118#015#177#011:#011119.145.220.85#015#177#011011#0110#015#177#011Э:#011#0111#015#177#015#177:#015#177#011ID:#0110#015#177#011011#011%14611#015#177#011 ID:#01148

 

转载于:https://blog.51cto.com/yuanji6699/1775028