Evtsys--轻松将Windows日志转换为SYSLOG

Windows cmd命令中的系统日志管理技巧在Windows操作系统中，日志是记录系统事件和错误的重要工具。

通过查看系统日志，我们可以了解系统的运行情况，及时发现问题并采取相应的措施。

本文将介绍一些Windows cmd命令中的系统日志管理技巧，帮助您更好地管理和利用系统日志。

一、查看系统日志1. eventvwr：这个命令可以打开事件查看器，提供了一个图形化界面，方便我们查看和管理系统日志。

在命令提示符下输入eventvwr并按下回车键即可打开事件查看器。

2. wevtutil：这个命令可以在命令行下查看和管理系统日志。

例如，输入wevtutil qe System /c:10 /rd:true可以查看最近的10条系统日志。

其中，System表示要查看的日志类型，/c:10表示要查看的日志条数，/rd:true表示按照逆序排列。

二、导出系统日志1. wevtutil：通过wevtutil命令，我们可以将系统日志导出为XML或CSV格式的文件，方便我们进行后续的分析和处理。

例如，输入wevtutil epl SystemC:\SystemLog.xml可以将System日志导出为XML格式的文件，并保存在C盘根目录下的SystemLog.xml文件中。

2. PowerShell：除了wevtutil命令，我们还可以使用PowerShell来导出系统日志。

例如，输入Get-WinEvent -LogName System | Export-Csv C:\SystemLog.csv可以将System日志导出为CSV格式的文件，并保存在C盘根目录下的SystemLog.csv 文件中。

三、清除系统日志1. wevtutil：通过wevtutil命令，我们可以清除系统日志中的所有事件。

例如，输入wevtutil cl System可以清除System日志中的所有事件。

2. PowerShell：除了wevtutil命令，我们还可以使用PowerShell来清除系统日志中的事件。

windows系统生成syslog报文
Windows系统日志的格式不相同,因此保存系统日志时,需要统一日志的格式并上传到SYSLOG服务器.
根据操作系统的位数,划分32和64位.相应的日志上传工具也分为两个版本.
Evtsys_4.1.0_32-Bit 6 Evtsys_4.1.0_64-Bit
下载对应的软件压缩包后解压
1.将其中的evtsys.dll和evtsys.exe文件一起复制到C:/windows/system32
2.以管理员身份运行CMD(命令提示符)
3.执行：evtsys –i –h 172.18.
4.105(syslog服务器地址) –p 1514
(PS:本机已经启动了evtsys服务，未开启服务的机器执行上面的命令即可) 4.服务启动后，便可以在SYSLOG服务器上查看到相应的系统信息命令解释：
1.启动服务：net start evtsys
2.停止服务：net stop evtsys
3.关联SYSLOG服务器：evtsys -i -h ip
-i 表示安装成系统服务
-h 表示指定log服务器的IP地址
4.卸载服务：evtsys –u evtsys（需要先将evtsys服务停止）。

Syslog服务器收集系统log信息在定位设备故障时，如果能够收集到故障时设备的部分命令输出信息，对故障检查将有极大帮助，但在很多情况下，由于种种原因，手工收集信息可能会有困难，往往不能及时收集到有用的信息。

而使用设备自带的syslog 功能，可以自动收集部分设备运行状态信息，并保存在一个syslog 服务器中，这样，即使设备被重新启动了，这些状态信息仍然可以从syslog 服务器中获取，从而为故障定位提供帮助。

syslog要考虑的主要是哪些日志需要发送到日志服务器上，即日志等级，0.emergency—Logs only emergency events. Such as system is unusable1.alert—Logs alert and more severe events. Action must be taken immeditedly2.critical—Logs critical and more severe events.3.error—Logs error and more severe events.4.warning—Logs warning and more severe events.5.notice—Logs notice and more severe events.rmational—Logs informational and more severe events.7.debug—Logs all events, including debug events.如果设置logging level 6 将记录事件严重级别定义为从informational开始，一直到最紧急级别的事件全部记录到前边指定的syslog server7750的log事件流分为4种级别：1.Security —用于记录用户登录，登录失败，越级操作尝试等安全方面的内容；2.Change —用于记录配置修改或节点运行状态改变的log；3.Debug—trace －用于分析协议细节的debug；4.Main —除了上述内容外的其它log内容；7750的log的应用：7750# show log applications==================================Log Event Application Names==================================Application Name ----------------------------------APPLICATION_ASSURANCEAPS APS K1K2以及切换信息ATM Cpos 155M端口E1信息BGPCCAGCFLOWDCHASSISCPMHWFILTERDEBUGDHCPDHCPSDOT1AGDOT1XEFM_OAMFILTERGSMPIGMPIGMP_SNOOPINGIPIPSECISISLAGLDPLILOGGERMCACMCPATHMC_REDUNDANCYMIRRORMLDMLD_SNOOPINGMPLSMSDPNTPOAMOSPFPIMPIM_SNOOPINGPORTPPPPPPOEQOSRIPROUTE_POLICYRSVPSECURITYSNMPSTPSUBSCR_MGMTSVCMGRSYSTEMTIPTODUSERUSER_DBVRRPVRTRSys log 服务器配置：Syslog服务器硬件基本配置：●操作系统：Windows xp/2000；●内存：1G；●硬盘：200G；●CPU：1.6GHzSyslog服务器软件：●3CDaemonSyslog 服务配置完成后，每台需要记录syslog 信息的设备均会将log 信息记录到文件名与自身IP地址对应的log 文件中。

Solaris配置syslog服务方法在/etc/syslog.conf文件中加入一行。

*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @10.212.41.75其中@loghost在hosts文件中定义，vi /etc/hosts。

在其中加入一行：10.212.41.86 loghost 重起syslog服务：/etc/init.d/syslog stop/etc/init.d/syslog startsvcadm restart system/system-log solaris10svcadm restart svc:/system/system-log:default使syslog记录tcp等网络服务日志。

修改/etc/init.d/inetsvc。

找到inetd那行改为：/usr/sbin/inetd -s -t &重启inetd：/etc/init.d/inetsvc stop/etc/init.d/inetsvc startHP UNIX配置syslog服务方法打开inetd日志功能在/etc/rc.config.d/netdaemons中的INETD_ARGS 环境变量中增加－l参数:export INETD_ARGS=-l修改syslog配置文件syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：/sbin/init.d/syslogd stop/sbin/init.d/syslogd startIBM AIX配置syslog服务方法修改syslog配置文件/etc/syslog.conf，加入*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug @loghost在hosts文件中加入10.212.41.86 loghost重启syslog服务：stopsrc -s syslogdstartsrc –s syslogdSUSE10配置syslog服务vim /etc/syslog-ng/syslog-ng.conf#定义日志类型：filter f_login { level(info) and facility(auth); };filter f_boco { level(warn, err, crit, alert, emerg) and not filter(f_iptables); };#配置日志转发：destination allmessages {udp("10.212.41.87" port(514)); };log { source(src); filter(f_boco); destination(allmessages); };log { source(src); filter(f_login); destination(allmessages); };重启日志服务：/etc/init.d/syslog restartLinux Syslog日志配置在/etc/syslog.conf文件中加入一行。

Windows主机下安装syslog日志客户端一、为什么使用日志客户端对于unix类主机以及交换机、路由器、防火墙等的日志记录，都可以通过syslog协议记录传输，但是Windows操作系统本身是可以产生很多日志的，如用户的登录、服务的重启等，都会产生日志，这些信息会记录在操作系统中，不支持把日志发送到syslog服务器去，所以要安装第三方软件转换Windows的日志。

二、Evtsys介绍Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。

它支持Windows 2000、2003、Vis、XP和Server 2008，并且编译后支持32和64位环境。

它被设计用于高负载的服务器，Evtsys快速、轻量、高效率。

并可以作为Windows服务存在。

下载地址：/p/eventlog-to-syslog/三、Evtsys安装以及配置1.从官网点击download选择32位或者64位下载（此处以32位为例）2.下载后解压文件，Readme.rtf为说明文件，其余两个为程序文件32位系统evtsys安装copy evtsys.exe c:\windows\system32\copy evtsys.dll c:\windows\system32\cd c:\windows\system32evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys64位系统evtsys安装copy evtsys.exe c:\windows\SysWOW64\copy evtsys.dll c:\windows\SysWOW64\cd c:\windows\SysWOW64evtsys.exe -i -h 192.168.1.41 -p 514net start evtsys3.开启系统相关审计打开windows组策略编辑器(开始->运行输入gpedit.msc) 在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

部署收集windows日志软件evtsys 1、第一阶段部署服务器列表(要求顺序部署)2、第二阶段部署服务器列表3、解压缩Evtsys_4.5.1_32-Bit.zip文件，得到evtsys.exe文件。

4、32位windows系统evtsys安装(如果是64位windows系统，请找陈涛要64位安装包)copy evtsys.exe c:\windows\system32\cd c:\windows\system32evtsys.exe -i -a -h 172.30.10 -l 3命令成功运行后会在系统增加EventLog to Syslog服务。

5、启动Evtsys服务，命令是：net start evtsys6、打开windows控制面板/管理工具/服务，查看“Eventlog tosyslog”服务的状态是否“正在运行”，启动类型是否“自动”。

7、回滚措施停止Evtsys服务，命令是：net stop evtsys删除Evtsys服务，命令是：cd c:\windows\system32evtsys -u8、evtsys参数说明可以在下载后的安装包中查看说明文档有详细信息evtsys.exe -i|-u|-d [-h host] [-p port]-i Install service (安装服务)-u Uninstall service (卸载服务)-d Debug: run as console program (以debug模式运行)-h host Name of log host (日志服务器IP地址)-p port Port number of syslogd (日志服务器端口，默认是514。

Windows事件接入需要在windows系统上安装应用程序 SEMCollector ，具体安装方法如下：1、将SEMCollector文件解压后运行setup.exe，按照提示后进行安装，如下图所示：1)点击“下一步”2)建议安装在默认目录，点击“下一步”3)点击“下一步”4)点击“下一步”5)点击“安装”6)点击“完成”2.2.2SEMCollector配置方法（1）打开配置文件“SEMCollectCfg.xml”目录为：“C:\Program Files\LinkTrust\SEMCollector\conf”文件内容如下：<?xml version="1.0" encoding="GB2312"?><CONFIGURATION><SYSTEM><SYSTEMNAME>Windows</SYSTEMNAME><SYSTEMTYPE>windows</SYSTEMTYPE><LOGPATH></LOGPATH><LOGFORMAT></LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local0</PARAM></ACTIONPARAM></SYSTEM><SYSTEM><SYSTEMNAME>IIS</SYSTEMNAME><SYSTEMTYPE>IIS</SYSTEMTYPE><LOGPATH>C:\WINNT\system32\LogFiles\MSFTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\SMTPSVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><LOGPATH>C:\WINNT\system32\LogFiles\W3SVC1</LOGPATH><LOGFORMAT>ex%YY%MM%DD.log </LOGFORMAT><ACTION>Syslog</ACTION><ACTIONPARAM><PARAM>192.168.25.168</PARAM><PARAM>514</PARAM><PARAM>Local1</PARAM></ACTIONPARAM></SYSTEM></CONFIGURATION>（2）将文件中标红处改为采集机IP地址后保存，重启SEM-COLLECTOR服务即可。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。