一、所需工具
1、日志转发工具 evtsys.dll和evtsys.exe [客户端]
2、syslogd服务器 Kiwi_Syslogd_8.2.3.setup.exe[服务器]
官方网站: http://www.kiwisyslog.com/
二、安装和配置转发工具:
1)、下载evtsys转发工具: https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys
解压后是两个文件evtsys.dll和evtsys.exe,把这两个文件拷贝到 c:windowssystem32目录下。
2)、打开Windows命令提示符(开始->运行 输入CMD)
C:WINDOWSsystem32>evtsys –i –h 192.168.0.58
-i 表示安装成系统服务
-h 指定log服务器的IP地址 :192.168.0.58(服务器IP)
3)、启动evtsys服务:
4)、如果要卸载evtsys,则:
打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)
在windows设置-> 安全设置 -> 本地策略 ->审核策略 中,打开你需要记录的windows日志(把对应属性设置为成功)。
evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,然后通过UDP 514端口发送给syslogd服务器。
三、配置syslogd服务器
下载Kiwi_Syslogd_8.2.3.setup.exe(官方下载或网上搜索下)。
Kiwi Syslog Daemon是一个装在服务器上的一个应用软件,可以实时显示通过防火墙的所有访问信息,并可以以文件的形式用日期命名保存到硬盘,以供查看。
但其信息内容的格式不具备可看性。
注意事项:
一、关闭防火墙
1、必须把Kiwi Syslog Daemon服务器端的本机防火墙关闭。
二、绑定IP, 设置端口
1、单击菜单FileSetupInputs-->UDP.
端口(UDP Port):514
绑定地址(Bind to address):服务器本机IP
数据加密Data encodeing: 选择 UTF-8 (不设置可能会乱码)
确定。
三、启动服务
1、单击菜单ManageInstall the Syslogd service , 确定。
2、Start the Syslogd service, 确定。
查看Kiwi_Syslogd_8.2.3服务器有日志了吗?!
备注: 客户端(evtsys.dll和evtsys.exe) 可以安装在任意一台电脑上,安装时, 指定服务器IP即可。
服务器(Syslogd_Service.exe)安装在1台电脑上即可。