Log02 - rsyslog配置(Windows)

Rsyslog本地⽇志和⽇志服务器配置1. 安装或升级apt-get install -y rsyslog2. 配置⽂件/etc/rsyslog.conf3. ⽇志写⼊本地⽂件3.1 Rsyslog默认是将⽇志存储在本地⽂件，所以不需要修改配置⽂件3.2 测试3.2.1 开个shell执⾏命令tail -f /var/log/messages，关注是否有⽇志3.2.2 在另外⼀个shell中执⾏logger -p info "hello, rsyslog"3.2.3 可以在tail的shell中看到以下的输出，则说明已成功tail -f /var/log/messagesSep 11 16:31:05 debian root: hello, rsyslog4. ⽇志写⼊远程⽇志服务器4.1 客户端配置4.1.1 在配置⽂件最后⾯添加以下⾏*.* @@remote-log-server:5144.1.2 重启rsyslogservice rsyslog restart4.2 服务端配置4.2.1 编辑配置⽂件/etc/rsyslog.conf：取消TCP、UDP连接的注释，修改成如下# provides UDP syslog receptionmodule(load="imudp")input(type="imudp" port="514")# provides TCP syslog receptionmodule(load="imtcp")input(type="imtcp" port="514")4.2.2 重启rsyslogservice rsyslog restart4.3 测试4.3.1 server端开个shell执⾏命令tail -f /var/log/messages,关注是否有⽇志4.3.2 client端执⾏命令 logger -p info "hello, remote rsyslog"4.3.3 server端执⾏命令 logger -p info "hello, local rsyslog"4.3.4 可以看到如下输出，则说明已成功tail -f /var/log/messagesJan 5 10:58:20 localhost root: hello, remote rsyslogJan 5 10:58:25 localhost root: hello, local rsyslog。

windows 2012 配置syslog日志转发-回复标题：一步一步学习Windows 2012配置syslog日志转发引言：Windows Server 2012是微软推出的一款功能强大的操作系统，适用于企业级服务器部署。

在日志管理方面，配置syslog日志转发是一项重要的任务。

本文将为您一步一步详细介绍如何在Windows Server 2012中配置syslog日志转发，以帮助您更好地管理和分析系统日志。

1. 理解syslog协议Syslog是一种用于网络设备和应用程序之间传输事件日志的标准协议。

它可以通过UDP或TCP协议传输，具有可靠性高、跨平台兼容性强等特点。

在Windows Server 2012上，我们需要使用第三方工具来实现syslog 日志转发功能，如SolarWinds Loggly、Syslog Server等。

2. 在Windows Server 2012上安装Syslog Server选择适合您需求的第三方工具，下载并安装到Windows Server 2012上。

在安装过程中，可以选择默认的安装路径，也可以根据您的实际需求进行自定义安装。

3. 配置Syslog Server打开安装好的Syslog Server程序，您将看到一些基本的配置选项。

根据您的网络环境和安全需求，配置以下参数：- 监听端口：选择一个未被占用的端口，用于接收来自Windows Server 2012的日志消息。

- 协议选择：根据您的网络环境和安全需求，选择UDP或TCP协议。

- 存储位置：设置接收到的日志存储位置，建议配置在独立的存储设备上，以防止日志过大导致服务器性能下降。

4. 配置Windows Server 2012发送日志到Syslog Server在Windows Server 2012上打开“事件查看器”，找到“Windows日志”-“应用程序”。

右键点击“应用程序”，选择“属性”。

⼿⼯配置rsyslog配置⽂件详解⼿⼯配置如果您⽆法通过脚本⽣成配置⽂件，这份指导将帮助您通过简单的复制、粘贴⼿动完成配置。

假定您已拥有root或sudo权限，是在通⽤的Linux平台使⽤5.8.0或更⾼版本的rsyslog，rsyslog能接收本地系统⽇志，并通过5140端⼝与外界连接。

1 配置系统环境粘贴以下脚本并运⾏，并且保证 /var/spool/rsyslog ⽬录已存在，如果是Ubuntu系统，还需要对⽬录进⾏权限设置。

sudo mkdir -v /var/spool/rsyslogif [ "$(grep Ubuntu /etc/issue)" != "" ]; thensudo chown -R syslog:adm /var/spool/rsyslogfi2 更新rsyslog配置⽂件。

打开rsyslog配置⽂件，它通常在 /etc/ ⽬录下sudo vim /etc/rsyslog.d/rizhiyi.conf将下列内容粘贴在这个配置⽂件中#real tran log$ModLoad imfile #装载imfile模块$InputFilePollInterval 3 #检查⽇志⽂件间隔（秒）$WorkDirectory /var/spool/rsyslog #定义⼯作⽬录。

例如队列⽂件存储存储⽂件夹。

$InputFileName FILEPATH #读取⽇志⽂件$InputFileTag APPNAME #⽇志写⼊⽇志附加标签字符串不要添加特殊符号$InputFileStateFile stat_APPNAME #定义记录偏移量数据⽂件名不要添加特殊符号$InputFileSeverity info #⽇志等级$InputFilePersistStateInterval 20000 #回写偏移量数据到⽂件间隔时间（秒）$RepeatedMsgReduction off #关闭重复消息控制$InputRunFileMonitor #This activates the current monitor. It has no parameters. If you forget this directive, no file monitoring will take place.#https:///docs/fastuse/tag/ 设置标签(rsyslog)$template RizhiyiFormat_APPNAME,"<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% [06f69fae723038bbc5d75d29564051ea@32473 tag=\"TAG\"] %msg%\n #<85> 0 2014-09-14T16:52:59.814155+08:00macbook my_app - - [91595477-c8e4-42b8-b1f9-696465b422ff@32473 tag="file_upload"tag="my_tag"]if $programname == 'APPNAME' then @@:5140;RizhiyiFormat_APPNAMEif $programname == 'APPNAME' then ~---------------------------------------------------------------对应的单台测试机的配置如下---------------------------------------------------------------------------------------并替换FILEPATH: 需要上传的⽇志⽂件的绝对路径，必须包含⽇志⽂件名。

配置rsyslog,实现设备日志的集中管理配置rsyslog,实现设备日志的集中管理这次为了把交换机及路由器的日志文件集中放置,并方便调试,安装了rsyslog,并对其进行配置,使其可记录网络设备传来的syslog,并将之存入 Mysql数据中,以便我们集中管理,下面是具体的配置过程:1、首先从下载并安装最新版本的 rsyslog2、安装时很容易（1）把源代码解压，并进入源代码树中执行：./configure --enable-mysql这里要注意，你的mysql要安装正确，特别是版本，比如我的mysql版本是：5.0.22，系统是redhat,那么我就要安装有MySQL- client-standard-5.0.22-0.rhel4.i386.rpm，总之如果这一步执行出错，比如我的刚开始是提示错误：checking for mysql_init in -lmysqlclient 在这一步有问题，后来重新安装了MySQL-client-standard-5.0.22-0.rhel4.i386.rpm就ok了(2)依次执行：make和make install就ok3、配置rsyslog.conf在源代码树下有一个示例文件，把它拷贝到/etc下（1）如果你要接受远程设备的syslog则要把以下三行的#去掉：# UDP Syslog Server:#$ModLoad imudp.so # provides UDP syslog reception#$UDPServerRun 514 # start a UDP syslog server at standard port 514并同时在iptables中开放514端口（2）配置rsyslog自动启动由于rsyslog没有为redhat准备启动脚本，所以要我们自己建，其实也很简单，我直接把syslog的启动脚本改了下，把里面的syslog 改为 rsyslog,如下所示:more /etc/init.d/syslog#!/bin/bash### chkconfig: 2345 12 88# description: Syslog is the facility by which many daemons use to log \# messages to various system log files. It is a good idea to always \# run syslog.### BEGIN INIT INFO# Provides: $syslog### END INIT INFO# Source function library.. /etc/init.d/functions[ -f /usr/local/sbin/rsyslogd ] || exit 0[ -f /sbin/klogd ] || exit 0# Source configRETVAL=0start() {echo -n $"Starting rsyslog: "/usr/local/sbin/rsyslogdRETVAL=$?echoecho -n $"Starting kernel logger: "daemon klogd $KLOGD_OPTIONSecho[ $RETVAL -eq 0 ] && touch /var/lock/subsys/rsyslogreturn $RETVAL}echo -n $"Shutting down kernel logger: "killproc klogdechoecho -n $"Shutting down rsyslog: "killproc rsyslogdRETVAL=$?echo[ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/rsyslog return $RETVAL}rhstatus() {status rsyslogdstatus klogd}restart() {stopstart}case "$1" instart)start;;stop)stop;;status)rhstatus;;restart);;condrestart)[ -f /var/lock/subsys/rsyslog ] && restart || :;;*)echo $"Usage: $0 {start|stop|status|restart|condrestart}"exit 1esacexit $?就只改了一点点，名字也没变，这样出不用ln来建链接了，都用原来的(3)记录到mysql如果要使用sql来记录日志则先要建表，找到rsyslog-3.20.0\plugins\ommysql下的createDB.sql文件，打开它，把里面的建表语句在你的数据库里执行，当然你也可以自建一个新数据库，一切由你之后加载mysql模块，当然你一定要确认ommysql.so在lib文件夹里存在，如果你之前使用./configure --enable-mysql进行配置则会在/usr/local/lib/rsyslog下存在ommysql.so文件（操作系统不同，目录可能不一样）,然后在rsyslog.conf文件中加上：$ModLoad ommysqllocal4.* :ommysql:127.0.0.1,yourdb,yourname,yourpass;注意我是local4来接受远程的syslog在交换机上的配置：华为的：info-center loghost 1.1.1.1 facility local4 //local4要和rsyslog.conf 里配置的一致,1.1.1.1为你的syslog服务器地址记得要改啊info-center loghost source Vlan-interface 11//你的网管VLAN 接口，要改的info-center source SHELL channel loghost log level notifications//我只想要操作日志，其他的不关心，如果你想要更多，请更改思科的：logging 1.1.1.1（配置 syslog服务器地址,可以定义多个）service timestamps debug datetime localtime show-timezone msecservice timestamps log datetime localtime show-timezone msec （syslog 信息包含时间戳）logging facility local4 （定义 facility 级别,缺省为local7,可以设置从 local0 到 local7）logging trap warning （定义severity 级别缺省为 infor 级别）到这里，一切基本ok了，到你的mysql服务器是看看：select * from SystemEvents应该已经记录有日志了但这里还有个小bug，我们会发现fromhost的这个字段不对，并不是你的交换机的地址，这是rsyslog的一个bug，怎么解决？？请参考：，而我的解决方案是自定义模板，而不能用其默认的模板了！我定义了一个模板:MySQLInsert并用它来执行sql语句，关于模板的概念，请参考doc-rsyslog_conf.html这里有详细的解释参考我的rsyslog.conf:# UDP Syslog Server:$ModLoad imudp.so # provides UDP syslog reception$UDPServerRun 514 # start a UDP syslog server at standard port 514# MySQL log$ModLoad ommysql$template MySQLInsert,"insert into SystemEvents( ReceivedAt,DeviceReportedTime,message,FromH ost,syslogtag) values('%timegenerated:::date-mysql%','%timereported:::date-mysql%','%msg%','%fromhost-ip%','%syslogtag%')", SQL local4.* :ommysql:127.0.0.1,syslogdatabase,sysloguserna me,syslogpass;MySQLInsert注意我使用了%fromhost-ip%，而不是%HOSTNAME%好了，基本上就这样了，以上就是我配置rsyslog的一些经过，希望对大家有帮助。

rsyslog配置详解格式::⽇志设备(类型).(连接符号)⽇志级别⽇志处理⽅式(action)⽇志设备(可以理解为⽇志类型):———————————————————————-auth –pam产⽣的⽇志authpriv –ssh,ftp等登录信息的验证信息cron –时间任务相关kern –内核lpr –打印mail –邮件mark(syslog)–rsyslog服务内部的信息,时间标识news –新闻组user –⽤户程序产⽣的相关信息uucp –unix to unix copy, unix主机之间相关的通讯local 1~7 –⾃定义的⽇志设备⽇志级别:———————————————————————-debug –有调式信息的，⽇志信息最多info –⼀般信息的⽇志，最常⽤notice –最具有重要性的普通条件的信息warning –警告级别err –错误级别，阻⽌某个功能或者模块不能正常⼯作的信息crit –严重级别，阻⽌整个系统或者整个软件不能正常⼯作的信息alert –需要⽴刻修改的信息emerg –内核崩溃等严重信息none –什么都不记录从上到下，级别从低到⾼，记录的信息越来越少详细的可以查看⼿册: man 3 syslog连接符号———————————————————————-.xxx: 表⽰⼤于等于xxx级别的信息.=xxx：表⽰等于xxx级别的信息.!xxx：表⽰在xxx之外的等级的信息Actions———————————————————————-实例: 过滤特定的⽇志到⽂件, 忽略(丢弃)包含某个字符串的⽇志msg, contains, “error” /var/log/error.log:msg, contains, “error” ~ # 忽略包含error的⽇志:msg, contains, “user nagios” ~:msg, contains, “user kadefor” ~:msg, contains, “module-alsa-sink.c: ALSA woke us up to write new data to the device, but there was actually nothing to write” ~local3.* ~PS.& ~ # 忽略所有的⽇志实例: 使⽤模板来定义⽇志格式$EscapeControlCharactersOnReceive off #关闭rsyslog默认转译ASCII<32的所有怪异字符，包括换⾏符等$template nginx-zjzc01,"/rsyslog/data/nginx/zjzc/nginx_access01_log.%$year%-%$month%-%$day%" #定义TC：⽇志存放路径$template nginx-zjzc02,"/rsyslog/data/nginx/zjzc/nginx_access02_log.%$year%-%$month%-%$day%" #定义TCBeta：⽇志存放路径$template nginx-uat01,"/rsyslog/data/nginx/uat/nginx_access01_log.%$year%-%$month%-%$day%" #定义TCBeta：⽇志存放路径$template tocFormat,"'%syslogtag%','%msg%'\n" #定义toc⽇志format:rawmsg,contains,"nginx-zjzc01" -?nginx-zjzc01;tocFormat #接受TC：⽇志，并应⽤tocFormat格式:rawmsg,contains,"nginx-zjzc02" -?nginx-zjzc02;tocFormat #接受TCBeta：⽇志，并应⽤tocFormat格式:rawmsg,contains,"uat-nginx" -?nginx-uat01;tocFormat #接受TCBeta：⽇志，并应⽤tocFormat格式$template logformat,”%TIMESTAMP:::date-mysql% %FROMHOST-IP%%msg%\n” # 定义⼀个名为logformat模板, 为信息加上⽇志时间$template DynFile,”/var/log/tlog%$year%%$month%%$day%.log” # 定义⽇志⽂件的名称，按照年⽉⽇:rawmsg, contains, “sdns_log” ?DynFile;logformat # 把rawmsg(也可以使⽤msg)⽇志中包含sdns_log标志的信息写到DynFile定义的⽇志⽂件⾥。

syslog日志服务器配置步骤一．作用Linux 系统的日志主要分为两种类型 :1. 进程所属日志：由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log 与 error_log 日志文件。

2. syslog 消息：系统syslog 记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。

Syslog程序就是用来记录这类日志的。

syslog是Linux的日志子系统，日志文件详细地记录了系统每天发生的各种各样的事件。

用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。

日志的两个比较重要的作用是：审核和监测。

配置syslog中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上，便于对集群中机器的管理与检查Linux系统所有的日志文件都在/var/log下，且必须有 root 权限才能察看。

日志文件其实是纯文本的文件，每一行表示一个消息,而且都由四个域的固定格式组成:1. 时间标签 (timestamp )，表示消息发出的日期和时间。

2. 主机名( hostname )，表示生成消息的计算机的名字。

如果只有一台计算机，主机名就可能没有必要了。

但是如果在网络环境中使用 syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。

3. 生成消息的子系统的名字。

可以是”kernel”，表示消息来自内核；或者是进程的名字，表示发出消息的程序的名字。

在方括号里的是进程的PID。

4. 消息( message )，剩下的部分就是消息的内容。

二．syslog配置文件syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

syslog守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放地点。

现在，我们先看看syslog.conf文件的配置行格式（这个文件里的每一个配置行都是同样的格式），然后再看一个完整的syslog配置文件。

Windows事件接入需要在windows系统上安装应用程序 SEMCollector ，具体安装方法如下：1、将SEMCollector文件解压后运行setup.exe，按照提示后进行安装，如下图所示：1)点击“下一步”2)建议安装在默认目录，点击“下一步”3)点击“下一步”4)点击“下一步”5)点击“安装”6)点击“完成”2.2.2SEMCollector配置方法（1）打开配置文件“SEMCollectCfg.xml”目录为：“C:\Program Files\LinkTrust\SEMCollector\conf”文件内容如下：<?xml version="1.0" encoding="GB2312"?><CONFIGURATION><SYSTEM><SYSTEMNAME>Windows</SYSTEMNAME><SYSTEMTYPE>windows</SYSTEMTYPE><LOGPATH></LOGPATH><LOGFORMAT></LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local0</PARAM></ACTIONPARAM></SYSTEM><SYSTEM><SYSTEMNAME>IIS</SYSTEMNAME><SYSTEMTYPE>IIS</SYSTEMTYPE><LOGPATH>C:\WINNT\system32\LogFiles\MSFTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\SMTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\W3SVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local1</PARAM></ACTIONPARAM></SYSTEM></CONFIGURATION>（2）将文件中标红处改为采集机IP地址后保存，重启SEM-COLLECTOR服务即可。