Windows系统日志自动转发syslog

windows 2012 配置syslog日志转发-回复Windows Server 2012是微软推出的一款服务器操作系统，具有强大的功能和稳定的性能。

在Windows Server 2012中，我们可以配置syslog 日志转发来收集和分析系统的日志信息。

本文将一步一步地介绍如何在Windows Server 2012上配置syslog日志转发。

首先，我们需要了解一些基础知识。

syslog是一个用于收集、传输和存储系统日志的标准协议。

它可以帮助我们集中管理所有设备的日志信息，并进行更加高效和方便的日志分析。

在Windows系统中，我们需要借助一些额外的工具来实现syslog日志转发。

步骤一：安装syslog服务在Windows Server 2012上，我们可以选择安装第三方的syslog服务来实现日志转发。

有很多可选的工具，比如Kiwi Syslog Server、syslog-ng 等。

在本文中，我们将以Kiwi Syslog Server为例进行演示。

首先，下载并安装Kiwi Syslog Server软件。

你可以通过搜索引擎找到官方网站并下载合适的版本。

在安装过程中，按照提示进行设置和配置，选择需要安装的组件和安装路径。

步骤二：配置syslog服务安装完成后，打开Kiwi Syslog Server软件。

首次运行时，你需要进行一些基本设置和配置。

1. 在“Setup Wizard”向导中，选择“Syslog Daemon”并点击“Next”按钮。

2. 在“Syslog Daemon Configuration”页面，选择“Receiver”模式，并点击“Next”按钮。

3. 在“Syslog Listener Ports”页面，选择需要监听的端口。

默认情况下，syslog使用的端口是514。

你可以选择使用默认端口或者自定义端口。

点击“Next”按钮继续。

4. 在“Syslog SSL/TLS Configuration”页面，如果你需要使用加密传输日志，可以选择相应的选项进行配置。

windows系统生成syslog报文
Windows系统日志的格式不相同,因此保存系统日志时,需要统一日志的格式并上传到SYSLOG服务器.
根据操作系统的位数,划分32和64位.相应的日志上传工具也分为两个版本.
Evtsys_4.1.0_32-Bit 6 Evtsys_4.1.0_64-Bit
下载对应的软件压缩包后解压
1.将其中的evtsys.dll和evtsys.exe文件一起复制到C:/windows/system32
2.以管理员身份运行CMD(命令提示符)
3.执行：evtsys –i –h 172.18.
4.105(syslog服务器地址) –p 1514
(PS:本机已经启动了evtsys服务，未开启服务的机器执行上面的命令即可) 4.服务启动后，便可以在SYSLOG服务器上查看到相应的系统信息命令解释：
1.启动服务：net start evtsys
2.停止服务：net stop evtsys
3.关联SYSLOG服务器：evtsys -i -h ip
-i 表示安装成系统服务
-h 表示指定log服务器的IP地址
4.卸载服务：evtsys –u evtsys（需要先将evtsys服务停止）。

windows 2012 配置syslog日志转发-回复标题：一步一步学习Windows 2012配置syslog日志转发引言：Windows Server 2012是微软推出的一款功能强大的操作系统，适用于企业级服务器部署。

在日志管理方面，配置syslog日志转发是一项重要的任务。

本文将为您一步一步详细介绍如何在Windows Server 2012中配置syslog日志转发，以帮助您更好地管理和分析系统日志。

1. 理解syslog协议Syslog是一种用于网络设备和应用程序之间传输事件日志的标准协议。

它可以通过UDP或TCP协议传输，具有可靠性高、跨平台兼容性强等特点。

在Windows Server 2012上，我们需要使用第三方工具来实现syslog 日志转发功能，如SolarWinds Loggly、Syslog Server等。

2. 在Windows Server 2012上安装Syslog Server选择适合您需求的第三方工具，下载并安装到Windows Server 2012上。

在安装过程中，可以选择默认的安装路径，也可以根据您的实际需求进行自定义安装。

3. 配置Syslog Server打开安装好的Syslog Server程序，您将看到一些基本的配置选项。

根据您的网络环境和安全需求，配置以下参数：- 监听端口：选择一个未被占用的端口，用于接收来自Windows Server 2012的日志消息。

- 协议选择：根据您的网络环境和安全需求，选择UDP或TCP协议。

- 存储位置：设置接收到的日志存储位置，建议配置在独立的存储设备上，以防止日志过大导致服务器性能下降。

4. 配置Windows Server 2012发送日志到Syslog Server在Windows Server 2012上打开“事件查看器”，找到“Windows日志”-“应用程序”。

右键点击“应用程序”，选择“属性”。

Syslog服务器收集系统log信息在定位设备故障时，如果能够收集到故障时设备的部分命令输出信息，对故障检查将有极大帮助，但在很多情况下，由于种种原因，手工收集信息可能会有困难，往往不能及时收集到有用的信息。

而使用设备自带的syslog 功能，可以自动收集部分设备运行状态信息，并保存在一个syslog 服务器中，这样，即使设备被重新启动了，这些状态信息仍然可以从syslog 服务器中获取，从而为故障定位提供帮助。

syslog要考虑的主要是哪些日志需要发送到日志服务器上，即日志等级，0.emergency—Logs only emergency events. Such as system is unusable1.alert—Logs alert and more severe events. Action must be taken immeditedly2.critical—Logs critical and more severe events.3.error—Logs error and more severe events.4.warning—Logs warning and more severe events.5.notice—Logs notice and more severe events.rmational—Logs informational and more severe events.7.debug—Logs all events, including debug events.如果设置logging level 6 将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslog server7750的log事件流分为4种级别：1.Security —用于记录用户登录，登录失败，越级操作尝试等安全方面的内容；2.Change —用于记录配置修改或节点运行状态改变的log；3.Debug—trace －用于分析协议细节的debug；4.Main —除了上述内容外的其它log内容；7750的log的应用：7750# show log applications==================================Log Event Application Names==================================Application Name ----------------------------------APPLICATION_ASSURANCEAPS APS K1K2以及切换信息ATM Cpos 155M端口E1信息BGPCCAGCFLOWDCHASSISCPMHWFILTERDEBUGDHCPDHCPSDOT1AGDOT1XEFM_OAMFILTERGSMPIGMPIGMP_SNOOPINGIPIPSECISISLAGLDPLILOGGERMCACMCPATHMC_REDUNDANCYMIRRORMLDMLD_SNOOPINGMPLSMSDPNTPOAMOSPFPIMPIM_SNOOPINGPORTPPPPPPOEQOSRIPROUTE_POLICYRSVPSECURITYSNMPSTPSUBSCR_MGMTSVCMGRSYSTEMTIPTODUSERUSER_DBVRRPVRTRSys log 服务器配置：Syslog服务器硬件基本配置：●操作系统：Windows xp/2000；●内存：1G；●硬盘：200G；●CPU：1.6GHzSyslog服务器软件：●3CDaemonSyslog 服务配置完成后，每台需要记录syslog 信息的设备均会将log 信息记录到文件名与自身IP地址对应的log 文件中。

windows 2012 配置syslog日志转发概述及解释说明1. 引言1.1 概述本文旨在探讨Windows Server 2012中配置syslog日志转发的方法。

随着信息技术的迅速发展，企业对于日志管理和安全审计的需求也越来越重要。

而syslog作为一种标准化的日志传送协议，可以将系统和应用程序生成的日志事件转发到集中式服务器进行集中管理和分析。

本文将介绍如何在Windows Server 2012上配置syslog日志转发，以满足企业对于日志集中管理的需求。

1.2 文章结构本文将按以下结构组织内容：- 引言：介绍本文的目的和结构。

- 配置syslog日志转发的必要性及作用：论述为什么需要配置syslog日志转发以及它的作用与优势。

- Windows Server 2012中配置syslog日志转发的方法：详细介绍在Windows Server 2012上如何完成syslog日志转发的配置过程。

- 相关注意事项和常见问题解答：提供一些配置过程中需要注意的事项，并解答一些常见问题。

- 结论：总结全文内容，展望未来发展方向。

1.3 目的通过阅读本文，读者将了解到在Windows Server 2012中实现syslog日志转发所需的步骤和方法，并且理解syslog日志转发在企业中的重要性以及其带来的好处。

同时，本文还将帮助读者识别和解决在配置过程中可能遇到的一些常见问题，以确保配置顺利完成并保证日志的准确传递和管理。

以上是“1. 引言”部分内容，旨在引导读者进入本文主题，并提供对整篇文章涉及内容的概述。

2. 配置syslog日志转发的必要性及作用2.1 什么是syslog日志转发Syslog是一种标准的网络协议，用于收集、传输和存储各种设备和应用程序生成的系统日志信息。

而syslog日志转发则是指将这些系统日志从源设备或应用程序发送到目标服务器或存储位置的过程。

通过配置syslog日志转发，可以实现集中管理和分析各个设备和应用程序产生的日志数据。

syslog使用方法一、什么是syslogsyslog是一种系统日志记录协议，用于在计算机网络上发送、接收和存储系统日志消息。

它可以帮助系统管理员监控和分析系统运行状态，诊断和解决问题，以及进行安全审计。

syslog可以用于各种操作系统和设备，如Unix、Linux、Windows、路由器、交换机等。

二、syslog的基本原理syslog的基本原理是通过网络传输日志消息。

它由三个主要组件组成：发送方（syslog client）、接收方（syslog server）和日志消息（syslog message）。

1. 发送方（syslog client）：发送方负责收集系统日志消息并将其发送到接收方。

发送方可以是操作系统的日志服务，也可以是应用程序或设备的日志功能。

2. 接收方（syslog server）：接收方是用于接收和存储日志消息的服务器。

它通常由系统管理员设置并运行在网络中的一台服务器上。

接收方可以收集来自多个发送方的日志消息，并对其进行存储、过滤和分析。

3. 日志消息（syslog message）：日志消息是由发送方生成的系统日志。

它包含了记录的事件、时间戳、设备信息、日志级别等重要信息。

日志消息可以根据不同的设备和应用程序进行格式化。

三、syslog的配置和使用步骤1. 配置发送方（syslog client）：- 在发送方上找到并编辑syslog配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

- 添加或修改配置项以指定syslog服务器的IP地址和端口号。

例如：*.* @192.168.1.100:514。

- 保存配置文件并重启syslog服务，使配置生效。

2. 配置接收方（syslog server）：- 在接收方上安装syslog服务器软件，如rsyslog、syslog-ng 等。

- 打开syslog服务器的配置文件，通常是/etc/syslog.conf或/etc/rsyslog.conf。

让Windows主机发送SysLOG的方法神州泰岳软件股份有限公司UltraPower Software Co.,Ltd.2013年9月一、概述 (3)二、使用软件 (3)1.E VENTLOG TO S YSLOG U TILITY (3)2.3CDAEMON (3)三、具体步骤 (3)1.下载EVTSYS_EXE_32.ZIP，解压 (3)2.拷贝解压文件 (3)3.配置EVTSYS (3)4.启动服务 (4)5.更改配置 (4)6.安装3CDAEMON (4)7.配置3CDAEMON的SYSLOG服务 (4)8.验证 (5)一、概述Linux主机和网络设备都能够通过配置SYSLOG，发送到接受syslog的服务器上，默认情况下windows主机无法将系统日志通过SYSLOG发送，要借助第三方工具。

二、使用软件1.Eventlog to Syslog Utilityevtsys_exe_32.zip或evtsys_exe_64.zip下载地址：https:///ECN/Resources/Documents/UNIX/evtsys/evtsys_exe_32.ziphttps:///ECN/Resources/Documents/UNIX/evtsys/evtsys_exe_64.zip2.3cdaemon通过3cdaemon，配置成Syslog服务器，收集客户端的Syslog。

三、具体步骤1.下载evtsys_exe_32.zip，解压2.拷贝解压文件将解压后的文件拷贝到发送syslog的windows主机的%systemroot%\system32目录下。

3.配置evtsys通过命令行输入：evtsys -i -h hostnamehostname为syslog服务器的主机名或IP地址，命令成功运行后会在系统增加EventLog to Syslog服务。

4.启动服务通过命令行输入：net start evtsys来启动服务。

syslog详解及配置远程发送⽇志和远程⽇志分类syslog详解及配置远程发送⽇志和远程⽇志分类1、⽇志协议syslog# 1.1、syslog简介 完善的⽇志分析系统应该能够通过多种协议（包括syslog等）进⾏⽇志采集并对⽇志分析，因此⽇志分析系统⾸先需要实现对多种⽇志协议的解析。

其次，需要对收集到的海量⽇志信息进⾏分析，再利⽤数据挖掘技术，发现隐藏再⽇志⾥⾯的安全问题。

Syslog再UNIX系统中应⽤⾮常⼴泛，它是⼀种标准协议，负责记录系统事件的⼀个后台程序，记录内容包括核⼼、系统程序的运⾏情况及所发⽣的事件。

Syslog协议使⽤UDP作为传输协议，通过514端⼝通信，Syslog使⽤syslogd后台进程，syslogd启动时读取配置⽂件/etc/syslog.conf，它将⽹络设备的⽇志发送到安装了syslog软件系统的⽇志服务器，Syslog⽇志服务器⾃动接收⽇志数据并写到指定的⽇志⽂件中。

# 1.2、syslog⽇志格式syslog标准协议如下图： Syslog消息并没有对最⼩长度有所定义，但报⽂的总长度必须在1024字节之内。

其中PRI部分必须有3个字符，以‘<’为起始符，然后紧跟⼀个数字，最后以‘>’结尾。

在括号内的数字被称为Priority（优先级），priority值由Facility和severity两个值计算得出，这两个值的级别和含义见表1-1和表1-2。

下⾯是⼀个例⼦：<30>Oct 1020:30:10 fedora auditd [1780]: The audit daemon is exiting▶“<30>”是PRI部分，即Priority（优先级），取值范围0~191。

▶“Oct 10 20:30:10 fedora”是HEADER（报头部分）。

▶“auditd [1780]: The audit daemon is exiting”是MSG（信息）部分。