Windows syslog日志服务器的创建方法

发布时间:2020-07-19编辑:脚本学堂
本文介绍了如何在windows下创建syslog日志服务器的方法,有需要的朋友,可以参考下。

在Windows上建立一个类linux下的集中日志系统。
比较Winsyslog和Kiwisyslog等工具后,最终选定Kiwisyslog(http://www.kiwisyslog.com/),功能齐全还免费。

Kiwisyslog遵循标准的日志协议(RFC 3164),并支持UDP/TCP/SNMP几种方式的日志输入。
它默认是个免费的功能受限版(但功能基本够用了,只是没有找到汉化),自带发送模拟器﹑日志浏览器等实用工具。

以下讲解,测试把ACE日志写到syslog的功能。

1)使用klog工具
用到kiwisyslog的klog实用工具(同时提供dll库的调用方式),它支持直接或用重定向的方法输出日志到kiwisyslog。
 

复制代码 代码示例:
klog –m "It's almost lunchtime"
DIR *.* | klog -h 192.168.1.2 -i
 

试图使用ACE应用日志输出到kiwisyslog时(ace_app.exe | klog -h 192.168.1.2 -i的形式),发现日志内容里前后有乱码出现,即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题;并且不能按时间一行一行的输出,而是等应用程序执行结束时一股脑输出到kiwisyslog(按回车换行切开成一条一条日志)。如果程序非正常结束,还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。
 

复制代码 代码示例:
ACE_LOG_MSG->set_flags (ACE_Log_Msg::SYSLOG);
 

然后按下面2)的方法转到kiwisyslog。

2)还可以把Windows下的事件日志转到Linux下的syslog
需要第三方的软件来将windows的日志转换成syslog类型的日志后,转发给syslog服务器

下面介绍第三方软件evtsys (全称是evntlog to syslog)的安装与配置。

解压后是两个文件evtsys.dll和evtsys.exe
把这两个文件拷贝到 c:/windows/system32目录下。

打开Windows命令提示符(开始->运行 输入CMD)
 

复制代码 代码示例:
C:/>evtsys –i –h 192.168.10.100

-i 表示安装成系统服务
-h 指定log服务器的IP地址

如果要卸载evtsys,则:
 

复制代码 代码示例:
net stop evtsys
evtsys -u

启动该服务:
 

复制代码 代码示例:
C:/>net start evtsys

打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)
在windows设置-> 安全设置 -> 本地策略 ->审核策略 中,打开你需要记录的windows日志。

evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。

完成以上操作,一个Windows下的syslog日志服务器就搭建完成了,以后就可以集中收集多台机器的windows日志了。