一.動作原理
KiwiSyslog的作用原理是在一個ruleg上設定syslog分類,做完分類後再進行套用的動作,每個rule可設定多個Fliter條件,也可設定多個Actions
二.基本設定操作
新增rule並新增一個Filter條件
1.FileàSetup
2.在Rule上右健àAdd rule
3.由下拉式選單選擇要過濾分類的條件種類
三.範例操作
範例
分類條件:來源IP為192.168.83.70的syslog
套用動作: (1).記錄到ms-sql (2).顯示於Display2上 (3).mail通知
按照前面的基本操作再新增一個rule並在rule上新增一個filte並修改名稱為192.168.83.70,filte類型請選擇IP addess
Filte Type則選擇Simple並輸入來源IP
點選test會有這樣的紅色X,請不用理會
資料庫連接設定
接下來要設定將syslog記錄到ms-sql裡,請先建立一個空的資料庫,這邊則是範建立一個名稱為syslog的空資料庫。
在192.168.83.70的rule上新增一個Action並選擇log to Database
按紅色框的位置開始設定連結資料庫的相關設定
提供者設定
將連結資料庫的資料填上
測試資料庫連結,成功後按確定
Database type請記得選擇為kiwi SQL format ISO
暗紅色框處去創見資料的資料表
出現的確認訊息
資料表建立成功訊息,按下確定並套用設定即完成資料庫連接設定
設定email通知
先設定Email的相關設定後才能套用到Action
在rule上新增一個Action選擇為e-mail message
設定要這個rule要傳送的email及傳送email的格式內容
設定顯示於Display1上
新增一個Action選擇為Display
然後選擇要顯示的Display
四.Syslog Client的設定
1.linux Syslog Client
Syslog本來就是Unix發展的log服務,因此預設所有的Linux是不用安裝任何得Agent的
只需在/etc/syslog.conf設定檔上加上一筆*.* @[syslog主機IP]
舉例來說,我們的kiwisyslog主機 IP 為 192.168.1.100 ,而 client 端希望所有的資料都送給主機, 所以,可以在 /etc/syslog.conf 裡面新增這樣的一行:
[root@linux ~]# vi /etc/syslog.conf
*.* @192.168.1.100
2.Windows Syslog Client
windows預設是沒有syslog的agent的因此必須安裝及他的agent程式來達成,這邊以snare來介紹,snare安裝完後可以透過web連結6161 port來管理
進入管理介面後點擊左邊Network Confinguration
在Destination Snare Server address欄位輸入kiwi syslog主機IP
並修改Destination Port欄位成514
Enable SYSLOG Header?選項請不要勾選
Produced 2008/2/28 by George