示環境:
Windows 2003 Server(服務器端),Windows Xp(客戶端)
Kiwi Syslog 9.2(30天試用版),Evtsys 4.4.0(evetlog to syslog(http://code.google.com/p/eventlog-to-syslog/downloads/list)),64bit的系統,要使用Evtsys 64bit
Kiwi Syslog 9.2 可到官方(http://www.kiwisyslog.com/)下載免費受限版本和註冊版本
Kiwi Syslog8.3.7破解版的下載地址:http://dl.dbank.com/c0e2703bog
安裝過程
1、運行Kiwi Syslog 安裝包裏的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe,彈出安裝界面,點擊“I agree”
2、選擇安裝模式爲“Install Kiwi Syslog Server as a service”,兩者的區別是,前者可以在關閉軟件主界面後仍然能記錄日誌,後者只能瞬時記錄日誌
3、選擇安裝的用戶,本地系統賬戶還是一個管理員的賬戶
4、勾選“Install Kiwi Syslog Web Access”(可以不勾選),因爲他提示了此功能只限註冊用戶使用、
5、選擇安裝的組件
6、選擇安裝的路徑
7、若第四步中沒有勾選安裝Kiwi Syslog Web Access,則會提示安裝成功,若勾選了,則會提示安裝Kiwi Syslog Web Access必備組件的嚮導,安裝過程會自動下載並安裝這些組件、
8、之後就會彈出Kiwi Syslog Web Access的安裝嚮導過程,也比較簡單。
9、在Kiwi Syslog的安裝包裏還有個工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe,安裝也比較簡單,這裏不詳細介紹。
配置過程
Kiwi Syslog Server的各種詳細配置主要在file-setup裏面。主要介紹2個方面的配置
1、log文件的存放路徑,點擊Rules-Actions-Log to file,這裏可以設置存放的位置以及存放的格式
2、配置計劃任務,點擊Rules-Shedules-Add new schedule
Schedule字段 添加日誌計劃頻率(按小時算、每6個小時記錄一次,一天記錄4次)
Source字段(設置臨時存儲日誌的路徑)
Destination字段(設置最終日誌存儲目錄)
實例測試
Windows環境
把這兩個文件拷貝到 c:\windows\system32目錄下。
打開Windows命令提示符(開始->運行 輸入CMD)
C:\>evtsys –i –h 192.168.3.11
-i 表示安裝成系統服務
-h 指定log服務器的IP地址
如果要卸載evtsys,則:
net stop evtsys
evtsys -u
啓動該服務:
C:\>net start evtsys
打開windows組策略編輯器 (開始->運行 輸入 gpedit.msc)
在windows設置-> 安全設置 -> 本地策略 ->審覈策略 中,打開你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生,然後把新產生的日誌轉換成syslogd可識別的格式,通過UDP 3072端口發送給syslogd服務器。
但是我們發現了個問題,日誌的內容竟然變成了亂碼。我們需要做出一個修改 ,在setup裏設置UDP裏的字符格式爲UTF-8
(2) netscreen防火牆日誌配置實例
1 用戶登陸web界面
2 選擇Configuration->;Report Settings->;Syslog
3 點擊'Enable Syslog messages'
4 輸入日誌服務器的地址和端口(udp端口514)
(3)華爲3952P-2,設置如下:
# logging on //開啓日誌系統
# info-center loghost 192.168.X.X //日誌服務器的IP地址
(4)思科交換機3750,設置如下:
#logging
#logging 192.168.X.X //日誌服務器的IP地址