Kiwi Syslog Daemon 簡易操作手冊

一.動作原理

KiwiSyslog的作用原理是在一個ruleg上設定syslog分類，做完分類後再進行套用的動作，每個rule可設定多個Fliter條件，也可設定多個Actions

二.基本設定操作

新增rule並新增一個Filter條件

1.FileàSetup

2.在Rule上右健àAdd rule

3.由下拉式選單選擇要過濾分類的條件種類

三.範例操作

範例

分類條件:來源IP為192.168.83.70的syslog

套用動作: (1).記錄到ms-sql (2).顯示於Display2上 (3).mail通知

按照前面的基本操作再新增一個rule並在rule上新增一個filte並修改名稱為192.168.83.70，filte類型請選擇IP addess

Filte Type則選擇Simple並輸入來源IP

點選test會有這樣的紅色X，請不用理會

資料庫連接設定

接下來要設定將syslog記錄到ms-sql裡，請先建立一個空的資料庫，這邊則是範建立一個名稱為syslog的空資料庫。

在192.168.83.70的rule上新增一個Action並選擇log to Database

按紅色框的位置開始設定連結資料庫的相關設定

提供者設定

將連結資料庫的資料填上

測試資料庫連結，成功後按確定

Database type請記得選擇為kiwi SQL format ISO

暗紅色框處去創見資料的資料表

出現的確認訊息

資料表建立成功訊息，按下確定並套用設定即完成資料庫連接設定

設定email通知

先設定Email的相關設定後才能套用到Action

在rule上新增一個Action選擇為e-mail message

設定要這個rule要傳送的email及傳送email的格式內容

設定顯示於Display1上

新增一個Action選擇為Display

然後選擇要顯示的Display

四.Syslog Client的設定

1.linux Syslog Client

Syslog本來就是Unix發展的log服務，因此預設所有的Linux是不用安裝任何得Agent的

只需在/etc/syslog.conf設定檔上加上一筆*.* @[syslog主機IP]

舉例來說，我們的kiwisyslog主機 IP 為 192.168.1.100 ，而 client 端希望所有的資料都送給主機，所以，可以在 /etc/syslog.conf 裡面新增這樣的一行：

[root@linux ~]# vi /etc/syslog.conf

*.*       @192.168.1.100

2.Windows Syslog Client

windows預設是沒有syslog的agent的因此必須安裝及他的agent程式來達成，這邊以snare來介紹，snare安裝完後可以透過web連結6161 port來管理

進入管理介面後點擊左邊Network Confinguration

在Destination Snare Server address欄位輸入kiwi syslog主機IP

並修改Destination Port欄位成514

Enable SYSLOG Header?選項請不要勾選

Produced 2008/2/28 by George