Syslog架设windows日志服务器

 

Syslog 架设 windows 日志服务器

 

1 winodws 服务器的配置

因为 windows 服务器不支持日志服务器，因此需要安装一个转换软件：

下载地址为： https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/

根据系统的版本下载 32 位和 64 位的程序。

解压后是两个文件 evtsys.dll 和 evtsys.exe
把这两个文件拷贝到 c:\windows\system32 目录下。

  evtsys 命令

U sage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]
-i      Install service ( 安装服务 )
-u      Uninstall service ( 卸载服务 )
-d      Debug: run as console program ( 以 debug 模式运行 )
-h host   Name of log host ( 日志服务器 IP 地址 )
-p port   Port number of syslogd ( 日志服务器端口，默认是 514)
-q char   Quote messages with character

打开 Windows 命令提示符（开始－ > 运行 输入 CMD ）
C:\>evtsys �Ci �Ch 192.168.28.4   # （日志服务器的 IP 地址）
-i    表示安装成系统服务
-h   指定 log 服务器的 IP 地址

启动该服务 :
C:\>net start evtsys

打开 windows 组策略编辑器 ( 开始 -> 运行 输入 gpedit.msc)
在 windows 设置－ > 安全设置 － > 本地策略－ > 审核策略中，打开你需要记录的 windows 日志。 evtsys 会实时的判断是否有新的 windows 日志产生，然后把新产生的日志转换成 syslogd 可识别的格式 , 通过 UDP 3072 端口发送给 syslogd 服务器。 OK, 所有的配置 windows 端配置完成 .

如果要卸载 evtsys, 则：
net stop evtsys
evtsys -u

 

2 优先级

    优先级是选择条件的第二个字段，它代表消息的紧急程度。对一个应用程序来说，它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的，应用程序的 使用者只能接受这样的安排 ―― 除非打算重新编译系统应用程序。表 2 按严重程度由低到高的顺序列出了所有可能的优先级。

优先级	含义	符号	SYSLOG 序列号
debug	调试级 - 信息量最多	LOG_DEBUG	7
info	通知性消息	LOG_iINFO	6
notice	普通但重要的消息	LOG_NOTICE	5
warning	警告消息	LOG_WARING	4
err	出错消息	LOG_ERR	3
crit	重要消息	LOG_CRIT	2
alert	紧急消息	LOG_ALERT	1
emerg	最紧急消息	LOG_EMERG	0

 

    不同的服务类型有不同的优先级，数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符，对应于这个优先 级的消息以及所有更紧急的消息类型都将包括在内。比如说，如果某个选择条件里的优先级是 “warning” ，它实际上将把 “warning” 、 “err” 、 “crit” 、 “alert” 和 “emerg” 都包括在内