有时需要第三方的软件来将windows的日志转换成syslog类型的日志后,转发给syslog服务器。
本文介绍一个第三方软件evtsys (全称是evntlog to syslog)
下载地址:https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/
解压后有两个文件evtsys.dll和evtsys.exe。
操作步骤:
1、把这两个文件拷贝到 c:windowssystem32目录下。
2、打开Windows命令提示符(开始->运行 输入CMD)
C:>evtsys –i –h 192.168.10.100---------〉安装
-i 表示安装成系统服务
-h 指定log服务器的IP地址
3、C:>net start evtsys------------>启动服务
4、重新制定syslog服务器时,需要卸载后重新安装
C:>net stop evtsys-------------->停止服务
C:>evtsys -u----------------->卸载
C:>evtsys -i -h newhostname
C:>net start evtsys
打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)
在windows设置-> 安全设置 -> 本地策略 ->审核策略中,打开需要记录的windows日志。
evtsys会实时判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。
windows客户端配置完成。