syslog_搭建日志服務(wù)器

1、安裝過(guò)程1、運(yùn)行Kiwi Syslog 安裝包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，彈出安裝界面，點(diǎn)擊“I agree” 2、選擇安裝模式為“Install Kiwi Syslog Server as a service”，兩者的區(qū)別是，前者可以在關(guān)閉軟件主界面后仍然能記錄日志，后者只能瞬時(shí)記錄日志3、選擇安裝的用戶，本地系統(tǒng)賬戶還是一個(gè)管理員的賬戶4、勾選“Install Kiwi Syslog Web Access”（可以不勾選），因?yàn)樗崾玖舜斯δ苤幌拮?cè)用戶使用、5、選擇安裝的組件6、選擇安裝的路徑7、若第四步中沒(méi)有勾選安裝Kiwi Sys

2、log Web Access，則會(huì)提示安裝成功，若勾選了，則會(huì)提示安裝Kiwi Syslog Web Access必備組件的向?qū)?，安裝過(guò)程會(huì)自動(dòng)下載并安裝這些組件、8、之后就會(huì)彈出Kiwi Syslog Web Access的安裝向?qū)н^(guò)程，也比較簡(jiǎn)單。9、在Kiwi Syslog的安裝包里還有個(gè)工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安裝也比較簡(jiǎn)單，這里不詳細(xì)介紹。配置過(guò)程Kiwi Syslog Server的各種詳細(xì)配置主要在file-setup里面。我們主要介紹2個(gè)方面的配置1、log文件的存放路徑，點(diǎn)擊Rules-Actions-L

3、og to file，這里我們就可以設(shè)置存放的位置以及存放的格式2、配置計(jì)劃任務(wù)，點(diǎn)擊Rules-Shedules-Add new scheduleSchedule字段 添加日志計(jì)劃頻率（按小時(shí)算、每6個(gè)小時(shí)記錄一次，一天記錄4次）Source字段（設(shè)置臨時(shí)存儲(chǔ)日志的路徑）Destination字段（設(shè)置最終日志存儲(chǔ)目錄）實(shí)例測(cè)試Windows環(huán)境（親測(cè)） 把這兩個(gè)文件拷貝到 c:windowssystem32目錄下。打開Windows命令提示符（開始>運(yùn)行 輸入CMD）C:>evtsys i h 192.168.10.100-i 表示安裝成系統(tǒng)服務(wù)-h 指定log服務(wù)器的IP地址

4、如果要卸載evtsys,則：net stop evtsysevtsys -u啟動(dòng)該服務(wù):C:>net start evtsys打開windows組策略編輯器 (開始->運(yùn)行 輸入 gpedit.msc)在windows設(shè)置> 安全設(shè)置 > 本地策略 >審核策略 中，打開你需要記錄的windows日志。evtsys會(huì)實(shí)時(shí)的判斷是否有新的windows日志產(chǎn)生，然后把新產(chǎn)生的日志轉(zhuǎn)換成syslogd可識(shí)別的格式,通過(guò)UDP 3072端口發(fā)送給syslogd服務(wù)器。但是我們發(fā)現(xiàn)了個(gè)問(wèn)題，日志的內(nèi)容竟然變成了亂碼。我們需要做出一個(gè)修改  ，在setup里設(shè)置UD

5、P里的字符格式為UTF-8(2) netscreen防火墻日志配置實(shí)例1 用戶登陸web界面2 選擇Configuration->Report Settings->Syslog3 點(diǎn)擊'Enable Syslog messages'4 輸入日志服務(wù)器的地址和端口（udp端口514）(3)華為3952P-2，設(shè)置如下：Quidway3952(config)# logging on /開啟日志系統(tǒng)Quidway3952(config)# info-center loghost 192.168.X.X /日志服務(wù)器的IP地址(4)思

6、科交換機(jī)3750，設(shè)置如下：SW3750 (config)#logging onSW3750(config)#logging 192.168.X.X  /日志服務(wù)器的IP地址(1)配置syslog: 配置syslog接收遠(yuǎn)程主機(jī)的syslog消息，這樣才會(huì)監(jiān)聽端口: 修改文件 /etc/sysconig/syslog 中內(nèi)容為: SYSLOGD_OPTIONS="-r -m 0" -r:enables logging from remote machines 接收遠(yuǎn)程syslog消息 系統(tǒng)默認(rèn)沒(méi)有-r參數(shù)

7、，不接收遠(yuǎn)程消息. 保存.重啟syslog服務(wù) service syslod restart 然后netstat -aun就能看到udp的514端口打開著。(2)存儲(chǔ)到本地文件測(cè)試:測(cè)試Facility為local5的所有等級(jí)的消息存儲(chǔ)到/var/log/test.log下首先 touch /var/log/test.log然后修改文件/etc/syslog.conf添加一行:local5.*              

8、60;         /var/log/test.log保存，表示local5的所有消息保存到該文件。重啟syslog服務(wù)service syslog restart然后tail -f /var/log/test.log文件用kiwi Syslog message generator 在一臺(tái)windows上發(fā)送一個(gè)Facility為local5的消息到syslog服務(wù)器(IP地址要填寫對(duì))這時(shí)test.log就會(huì)被寫入.(3)轉(zhuǎn)發(fā)至遠(yuǎn)程主機(jī)修改/etc/syslog.conf中的添加那行為:local5.*                        192.168.54.71這樣syslog就會(huì)轉(zhuǎn)發(fā)到192.168.54.71上了重啟服務(wù)，并啟動(dòng)192.168.54.71上的kiwi syslog service manager進(jìn)行監(jiān)聽。然后用