syslog 搭建日志服務(wù)器

1、安裝過程1、運行Kiwi Syslog 安裝包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，彈出安裝界面，點擊“I agree” 2、選擇安裝模式為“Install Kiwi Syslog Server as a service”，兩者的區(qū)別是，前者可以在關(guān)閉軟件主界面后仍然能記錄日志，后者只能瞬時記錄日志3、選擇安裝的用戶，本地系統(tǒng)賬戶還是一個管理員的賬戶4、勾選“Install Kiwi Syslog Web Access”（可以不勾選），因為他提示了此功能只限注冊用戶使用、5、選擇安裝的組件6、選擇安裝的路徑7、若第四步中沒有勾選安裝Kiwi Sys

2、log Web Access，則會提示安裝成功，若勾選了，則會提示安裝Kiwi Syslog Web Access必備組件的向?qū)В惭b過程會自動下載并安裝這些組件、8、之后就會彈出Kiwi Syslog Web Access的安裝向?qū)н^程，也比較簡單。9、在Kiwi Syslog的安裝包里還有個工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安裝也比較簡單，這里不詳細介紹。配置過程Kiwi Syslog Server的各種詳細配置主要在file-setup里面。我們主要介紹2個方面的配置1、log文件的存放路徑，點擊Rules-Actions-L

3、og to file，這里我們就可以設(shè)置存放的位置以及存放的格式2、配置計劃任務(wù)，點擊Rules-Shedules-Add new scheduleSchedule字段 添加日志計劃頻率（按小時算、每6個小時記錄一次，一天記錄4次）Source字段（設(shè)置臨時存儲日志的路徑）Destination字段（設(shè)置最終日志存儲目錄）實例測試Windows環(huán)境（親測） 把這兩個文件拷貝到 c:windowssystem32目錄下。打開Windows命令提示符（開始>運行 輸入CMD）-i 表示安裝成系統(tǒng)服務(wù)-h 指定log服務(wù)器的IP地址如果要卸載evtsys,則：net stop evtsysev

4、tsys -u啟動該服務(wù):C:>net start evtsys打開windows組策略編輯器 (開始->運行 輸入 gpedit.msc)在windows設(shè)置> 安全設(shè)置 > 本地策略 >審核策略 中，打開你需要記錄的windows日志。evtsys會實時的判斷是否有新的windows日志產(chǎn)生，然后把新產(chǎn)生的日志轉(zhuǎn)換成syslogd可識別的格式,通過UDP 3072端口發(fā)送給syslogd服務(wù)器。但是我們發(fā)現(xiàn)了個問題，日志的內(nèi)容竟然變成了亂碼。我們需要做出一個修改  ，在setup里設(shè)置UDP里的字符格式為UTF-8(2) netscreen防火墻日志配置實例1 用戶登陸web界面2 選擇Configuration->Report Settings->Syslog3 點擊'Enable Syslog messages'4 輸入日志服務(wù)器的地址和端口（udp端口514）(3)華為3952P-2，設(shè)置如下：Quidway3952(config)# logging on /開啟日志系統(tǒng)Quidway3952(config)# info-center loghost 192.168.X.X /日志服務(wù)器的IP地址(4)思科交換機3750，設(shè)置如下：