Kiwi-Syslog日志服务器搭建

kiwi syslog server是一款功能强大的开源系统日志工具，使用方法如下：
1. 安装：登录日志服务器运行Kiwi_Syslogd_8.3.7.setup.exe，弹出安装界面，点击“I agree”同意进行安装。

选择安装模式为“Install Kiwi Syslog Server as a service”并单击“next”继续安装。

选择安装的用户，本地系统账户或一个单独的管理员账户，此处为直接选择本地账户。

选择安装组件，此处保持默认状态单击下一步继续安装。

选择软件安装路径，此处保持默认即可，单击“Install”进行安装。

2. 配置：kiwi syslog server的配置主要包括设置日志接收规则、过滤器、执行动作等。

具体配置方法可以参考官方文档或者教程。

3. 运行：安装完成后，kiwi syslog server会作为系统的一项服务启动，即使关闭kiwi syslog的界面窗口，仍可以在后台工作。

以上是kiwi syslog server的基本使用方法，具体使用细节和高级功能可以参考官方文档或者教程。

配置防火墙的Syslog存储到Linux Syslog服务器防火墙日志作为重要的安全审计、安全分析资料，需要保存一段时间，而防火墙本身保存日志的容量有限，可以把防火墙记录的日志存储到用Linux平台做的日志服务器,以Netscreen为例介绍怎样配置Syslog.配置Netscreen的Syslog存储到Linux Syslog服务器将ISG 防火墙(X.X.X.X)的Syslog信息存储到Syslog服务器上(Y.Y.Y.Y)，便于跟踪防火墙状态和日志检查。

一、配置Syslogd更改/etc/syslog.conf配置文件，增加以下部分：# Save Debug Message of Netscreen(Y.Y.Y.Y) to netscreen.logLocal7.* /home/log/netscreen.log将local7设备的信息存储在指定的/home/log/netscreen.log里面，通过这条配置可以将不同设备的log信息存储在不同的文件中，便于查看。

二、配置logrotateLinux中的logrotate程序用于对日志文件的轮询，可以通过限定文件的大小、时间等配置，保存多个日志文件。

更改/etc/logratate.conf文件，增加以下部分：/home/log/netscreen.log {monthlyrotate 12}将syslog中存储的文件/home/log/netscreen.log，按每月的方式保存，共保存12个文件，也就是第一个月保存为netscreen.log，到了下个月将把这个月的文件名换成为netscreen.log.1，依此类推。

三、重新启动syslogdservice syslog restart四、Netscreen 配置：>查看log的等级get event level可以看到当前的netscreen 事件等级，如：alert level 1: immediate action is requiredcritical level 2: functionality is affecteddebug level 7: detailed information for troubleshootingemergency level 0: system is unusableerror level 3: error conditioninformation level 6: general information about operationnotification level 5: normal eventswarning level 4: functionality may be affected选择你需要等级即可，这里我们选择Debug信息。

Syslog服务器的设置
首先在一个PC上安装syslog软件。

目前syslog软件可以运行在Windows、Linux和Unix 上，请随便做一个syslog服务器。

我们推荐一个运行在Windows平台上的syslog服务器软件，kiwi-syslog。

请到下面的站点下载：
然后在防火墙上作如下设置：
Kiwi_SysLog服务器日志设置
使用Kiwi_SysLog软件可以把日志进行分类存储，如按照日志的时间进行存储。

具体的设置方法如下：
日期：yyyy-mm-dd 时间：hour
具体的设置请看“Insert AutoSplit value”
●如上图的设置，日志的记录将会是这样的：
其中D:\Logs\2004-03-14\表示每天的日志，在每天的日志中，LOG_15表示下午三点的记录，LOG_16表示下午四点的记录，依此类推。

这样就可以分别记录。

●如果要对日志进行查询、排序等工作，需要用到微软的Access数据库进行处理。

具体的操作是“文件”→“新建”→“空数据库”→“文件”→“获取外部数据”→“导入”→然后选择日志文件→选择“带分隔符”→选择“分号”→“完成”。

KIWISyslog配置默认地，kiwi使⽤UDP 514端⼝接收⽇志数据，安装成功后即可接收⽇志使⽤命令netstat –ano查看服务器监听状态，如果服务没起来，则重新启动服务Kiwi Syslog Daemon任务：把当天的⽇志保存在G:\event，历史⽇志保存在G:\eventold，⾃动删除1⼀个⽉前的⽇志记录第⼀步：新建规则CiscoRouter1.新建Filters IP:收集来⾃192.168.0.1的⽇志2.新建Action Display01：收集的数据显⽰在软件的第⼀个屏幕（00-09）3.新建Action Log to file：设置⽇志保存路径G:\event如果启⽤Enable Log File Rotaion,设置Maximum log file 1 Day(s)则每天保存⼀个当天的⽇志，并且命名格式为Cisco.txt.001，Cisco.txt.002，如此类推保存每天的⽇志这⾥我们不进⾏设置第⼆步：设置保存每天⽇志、删除1个⽉前旧⽇志的计划安排1.新建计划Save File，频率设置为每天⼀次，其他默认设置备份⽇志的源路径G:\eventDestination每天将源路径⽂件移动到⽬标⽂件夹G:\eventold，并且新建以当天⽇期命名的⽂件夹,这样源路径就只保存有当天的⽇志Archive Options可以把移动的⽂件进⾏压缩设置，或者触发⼀个程序的运⾏，这⾥我们不设置Archive Notifications如果软件email选项设置了邮件帐号，还可以通过该设置，把每天的报告发给指定的邮箱2.新建计划Clean UpSource需要删除⼀个⽉前的⽇志⽂件G:\eventoldCisco Logging配置logging onlogging host 192.168.0.xlogging facility local7 将记录事件类型定义为local7logging trap warning 将记录事件严重级别定义为从warningl开始，⼀直到最紧急级别的事件全部记录到前边指定的syslog server. logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址service timestamps log datetime 发送记录事件的时候包含时间标记到此配置完毕Window Logging 配置解压后是两个⽂件evtsys.dll和evtsys.exe ，把这两个⽂件拷贝到 c:\windows\system32⽬录下。

日志服务器搭建文档syslog详解1.syslog简介Syslog系统日志，记录linux系统启动以及运行的过程中产生的信息，rhel5.x系统默认自带了syslog，其配置文件是/etc/syslog.conf（rhel6.x的配置文件为/etc/rsyslog.conf）Syslog有两个进程：klogd和syslogdklogd：记录内核生成的日志syslogd：记录内核意外的信息2.syslog配置文件详解配置文件的定义格式为：factility.priority action（即设备.优先级动作）2.1factility可以理解为日志来源，常用的factility有以下几种：auth#有pam_pwdb报告认证活动authpriv#包括特权信息如用户名在内的认证活动cron#cron和at有关的计划任务daemon#与initd守护进程有关的后台进程kernel#内核消息队列lpr#打印机mark#syslog内部日志时间user#由用户程序生成的信息syslog#有syslog生成的信息uucp#由uucp生成的信息local0-local7#自定义程序使用2.2level级别emerg#紧急alert#警报cirt#关键errror#错误warning#警告notice#通知info#信息debug#调试2.3action(动作)日志记录位置系统上的绝对路径#如：/var/log/xxxx终端#如：/dev/console@host#远程主机，如：@172.16.133.185*#登陆到系统中的所有用户2.4rhel5.x系统上自带配置文件/etc/syslog.conf的分析*.info;mail.none;authpriv.none;cron.none/var/log/messages #表示将所有日志为info级别的，但是不包括mail，authpriv,crond相关信息，记录到/var/log/messages中authpriv.*/var/log/secure #表示将权限相关的信息记录到/var/log/secure1.mail.*-/var/log/maillog #将mail相关的信息异步写到磁盘/var/log/maillog2.5配置syslog日志服务器2.5.1服务器端设置vi/etc/sysconfig/syslog将sysLOGD_OPTIONS修改为：sysLOGD_OPTIONS=“-r–m0”#-r表示接受远程日志重启syslog服务,/etc/init.d/syslog restart(rhel6.x启动方式为/etc/init.d/rsyslog restart）2.5.2client端设置在/etc/syslog.conf中添加一条，如下：*.info;authpriv.*@172.16.133.185此时的日志服务器记录的信息为/var/log/messages,/var/log/secure。

linuxsyslog⽇志服务器的搭建⾸先我们知道⽇志是什么,⽇志毫⽆疑问就跟我们写⽇记⼀样记录我们每天做的⼀些事情,那么⽇志对于⼀台服务器⽽⾔是⾄关重要的,⽐如说我们搭建服务的时候,服务起不来也没提⽰错误信息,那么这个时候就可以查看⽇志来排错了,还记录了服务器的运⾏情况已经⼊侵记录等等... ,那么我们知道⼀台服务器的⽇志默认是存放在本地的对于linux⽽⾔⽇志⼀般存放于/var/log/⽬录下,⽐如说某系统管理员管理着⼏⼗甚⾄上百台服务器的时候,默认⽇志放在每台服务器的本地,当我们每天要去看⽇志的时候⼀台⼀台的看⽇志是不是要郁闷死了. 没关系在linux系统上提供了⼀个syslogd这样的⼀个服务为我们提供⽇志服务器,他可以将多台主机和⽹络设备等等的⽇志存到⽇志服务器上,这样就⼤⼤减少了管理员的⼯作量,下⾯将在⼀台默认装有rhel5.x的系统上搭建⼀台⽇志服务器.～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～系统环境：默认安装有rhel5.8的系统主机⾓⾊ IP地址server1 ⽇志服务器 10.0.0.1server2 10.0.0.2～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～实际上⽇志服务器的配置⾮常之简单⼏条命令就搞定了⼀.配置⽇志服务器为⽹络中其他主机及其⽹络设备等等提供⽇志存储服务,也就是配置server11. 在server1上编辑/etc/sysconfig/syslog⽂件修改如下#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS这项,如下SYSLOGD_OPTIONS="-m 0 -r"2 .重新启动syslog#service syslog restart3.配置防⽕墙,syslog传送⽇志的端⼝是UDP的514端⼝防⽕墙在默认的情况下是阻⽌所有的,这⾥就直接把防⽕墙关闭了,防⽕墙的配置就不介绍了#service iptables stop#chkconfig iptables offok！到这⾥服务器的配置基本就结束了.⼆.配置server2让其将⽇志发送到⽇志服务器上去,我们知道windows跟交换机路由器都是有⽇志产⽣的,它们的⽇志也是可以存储到⽇志服务器上去的,这⾥就只介绍linux主机的1.配置server2上的/etc/syslog.conf定义⽇志的类型以及⽇志的级别和⽇志存放的位置,这⾥就只简单的介绍下⼤体的配置思路,#vim /etc/syslog.conf*.* @10.0.0.1上⾯的配置表⽰所有的⽇志类型.所有的⽇志的级别的⽇志都将存放在10.0.0.1这台⽇志服务器上2,重启syslog#service syslog restart三.验证1.在server2上建⼀个redhat的⽤户,然后到server1上的/var/log/secure⽂件或者/var/log/messages⽂件查看⽇志#cat /var/log/secureJun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash可以看到10.0.0.2这台主机new了⼀个redhat的⽤户。

KIWISYSLOG日志服务器说明1、IP地址：192.168.102.11用户名：administrator密码：Wlzx5952577.日志服务启动：在服务中，启动Kiwi Syslog Server即可2、日志服务器日志可分三种查询方式：1）数据库查询：SELECT [MsgDate],[MsgTime],[MsgPriority] ,[MsgHostname],[MsgText] FROM [syslog].[dbo].[Syslogd]数据库账号：sa 密码：Wlzx25772）Kiwi Syslog Server Console 控制台查看方式：双击桌面Kiwi Syslog Server Console可查看3）Kiwi Syslog Web Access：web页面方式访问地址：本地查看：http://localhost:8088/远程访问：http://192.168.101.11:8088/用户名：administrator密码：Wlzx25773、日志服务器日志保留时间：数据库保留30天（可修改，是在数据库中新建了一个作业）控制台30天循环（可修改，在控制台菜单中的"run"中Log to file 中设置）4、日志服务器日志存放路径：控制台方式的日志在：E:\Syslogd\Logs\数据库在：E:\MSData5、交换机终端配置命令：DCRS-5512GC交换机的管理VLAN的IP地址为100.100.100.1，远端日志主机的IP地址为100.100.100.5。

需要能够将模块shell和系统事件的所有日志信息输出到远端日志主机的local1中，将模块shell 严重等级为warning及critical的日志信息输出到日志缓冲区中。

配置步骤如下：Switch#logging onSwitch#logging 100.100.100.5 facility local7Switch#logging source m_shell channel loghost level debugging state onSwitch#logging source sys_event channel loghost level debugging state on#Switch#logging logbuffed 1000Switch#logging source m_shell channel logbuff level warning state on其他的型号：如4500可能还需要执行的命令：打开或关闭记录用户执行命令的日志开关：logging executed-commands {enable|disable}显示记录用户执行命令的日志开关状态：show ogging executed-commands state。