用Kiwi Syslog 搭建集中管理的日誌服務器

示環境:

 

Windows 2003 Server(服務器端),Windows Xp(客戶端)

 

Kiwi Syslog 9.2(30天試用版),Evtsys 4.4.0(evetlog to syslog(http://code.google.com/p/eventlog-to-syslog/downloads/list)),64bit的系統,要使用Evtsys 64bit

Kiwi Syslog 9.2 可到官方(http://www.kiwisyslog.com/)下載免費受限版本和註冊版本

Kiwi Syslog8.3.7破解版的下載地址:http://dl.dbank.com/c0e2703bog

安裝過程

1、運行Kiwi Syslog 安裝包裏的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe,彈出安裝界面,點擊“I agree”

 

2、選擇安裝模式爲“Install Kiwi Syslog Server as a service”,兩者的區別是,前者可以在關閉軟件主界面後仍然能記錄日誌,後者只能瞬時記錄日誌

 

3、選擇安裝的用戶,本地系統賬戶還是一個管理員的賬戶

4、勾選“Install Kiwi Syslog Web Access”(可以不勾選),因爲他提示了此功能只限註冊用戶使用、

5、選擇安裝的組件

6、選擇安裝的路徑

7、若第四步中沒有勾選安裝Kiwi Syslog Web Access,則會提示安裝成功,若勾選了,則會提示安裝Kiwi Syslog Web Access必備組件的嚮導,安裝過程會自動下載並安裝這些組件、

8、之後就會彈出Kiwi Syslog Web Access的安裝嚮導過程,也比較簡單。

9、在Kiwi Syslog的安裝包裏還有個工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe,安裝也比較簡單,這裏不詳細介紹。

配置過程

 

Kiwi Syslog Server的各種詳細配置主要在file-setup裏面。主要介紹2個方面的配置

1、log文件的存放路徑,點擊Rules-Actions-Log to file,這裏可以設置存放的位置以及存放的格式

2、配置計劃任務,點擊Rules-Shedules-Add new schedule

Schedule字段 添加日誌計劃頻率(按小時算、每6個小時記錄一次,一天記錄4次)

Source字段(設置臨時存儲日誌的路徑)

Destination字段(設置最終日誌存儲目錄)

實例測試

Windows環境

 

把這兩個文件拷貝到 c:\windows\system32目錄下。

打開Windows命令提示符(開始->運行 輸入CMD)

C:\>evtsys –i –h 192.168.3.11

-i 表示安裝成系統服務

-h 指定log服務器的IP地址

如果要卸載evtsys,則:

net stop evtsys

evtsys -u

啓動該服務:

C:\>net start evtsys

打開windows組策略編輯器 (開始->運行 輸入 gpedit.msc)

在windows設置-> 安全設置 -> 本地策略 ->審覈策略 中,打開你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉換成syslogd可識別的格式,通過UDP 3072端口發送給syslogd服務器。

但是我們發現了個問題,日誌的內容竟然變成了亂碼。我們需要做出一個修改 ,在setup裏設置UDP裏的字符格式爲UTF-8

(2) netscreen防火牆日誌配置實例

1 用戶登陸web界面

2 選擇Configuration->;Report Settings->;Syslog

3 點擊'Enable Syslog messages'

4 輸入日誌服務器的地址和端口(udp端口514)

 

(3)華爲3952P-2,設置如下:

# logging on //開啓日誌系統

# info-center loghost 192.168.X.X //日誌服務器的IP地址

(4)思科交換機3750,設置如下:

#logging

#logging 192.168.X.X //日誌服務器的IP地址

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章