我们知道,无论是Unix、Linux、FreeBSD、Ubuntu,还是路由器、交换机,都会产生大量的日志,而这些,一般会以syslog的形式存在。调试过防火墙、入侵检测、安全审计等产品的朋友应该对SYSLOG熟悉,如果您还不了解SYSLOG,请登录百度或Google查询。
很多时候,我们需要对日志进行集中化管理,如各种操作系统、网络设备、安全设备,甚至应用系统、业务系统等,但是不知道你注意看上文了没:Windows的应用、安全、系统日志怎么办?
Windows操作系统本身是可以产生很多日志的,如每次插拔U盘、服务的重启等,都会产生日志,这些信息会记录在操作系统中,如果我们想集中管理,怎么办?Windows操作系统本身并不支持把日志发送到SYSLOG服务器去,但是我们就没办法了?当然不是,否则游侠也不会写本文了。嘿嘿
还好,我们有Evtsys。什么是Evtsys呢?看下文介绍,当然为了照顾英文不好的朋友,游侠会进行简单说明。
----------Start----------
eventlog-to-syslog
Eventlog to Syslog Service for Windows (2k, XP, 2k3, 2k8+)
Evtsys支持从Windows2000一直到Windows2008的系统,还是很广泛的!
Eventlog to Syslog Service for Windows
This program is written in C and provides a method of sending Windows Eventlog events to a syslog server. It works with the new Windows Events service found in Vista and Server 2008 and can be compiled for both 32 and 64-bit environments. Designed to keep up with very busy servers, it is fast, light, and efficient. The program is designed to run as a windows service.
Evtsys是用C写的程序,提供发送Windows日志到syslog服务器的一种方式。它支持Windows Vista和Server 2008,并且编译后支持32和64位环境。它被设计用于高负载的服务器,Evtsys快速、轻量、高效率。并可以作为Windows服务存在。
It is an adaption of Curtis Smith's Eventlog to Syslog service found at https://engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/
这是一个Curtis Smith的Eventlog to Syslog service程序的改编版本。
----------End----------
如果你想下载Evtsys,请登录 http://code.google.com/p/eventlog-to-syslog/ 查看并获取最新更新。值得称道的是,程序仅仅有几十KB大小!
下载Evtsys后,将其复制到系统目录,XP下是Windows\system32目录。然后在CMD下执行:
evtsys.exe -i -h 192.168.1.101 -p 514
这个是标准格式,亦可精简为:
evtsys -i -h 192.168.1.101
参数说明:
i是安装成Window服务;
h是syslog服务器地址;
p是syslog服务器的接收端口。
默认下,端口可以省略,默认是514.
启动Evtsys服务,命令是:
net start evtsys
查看Windows的“服务”,发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”,并且已经启动。
简单否?我们来测试下结果:
用SyslogGather.exe进行测试(软件下载:http://www.youxia.org/2011/04/SyslogGather.html)
我的计算机地址是192.168.1.101,我安装Evtsys的时候设定syslog的地址是192.168.1.101,然后打开SyslogGather.exe,重启某个服务,发现有日志显示:
到此,我们成功的在Windows下配置了Event Log到Syslog的转换。
预告:
在接下来的一段时间内,游侠将介绍如何统一管理各类设备、应用、系统产生的SYSLOG。敬请关注!