Syslog架设windows日志服务器
1 winodws服务器的配置
因为windows服务器不支持日志服务器,因此需要安装一个转换软件:
根据系统的版本下载32位和64位的程序。
解压后是两个文件evtsys.dll和evtsys.exe 把这两个文件拷贝到 c:\windows\system32目录下。
evtsys命令
Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char] -i Install service (安装服务) -u Uninstall service (卸载服务) -d Debug: run as console program (以debug模式运行) -h host Name of log host (日志服务器IP地址) -p port Port number of syslogd (日志服务器端口,默认是514) -q char Quote messages with character
打开Windows命令提示符(开始->运行 输入CMD) C:\>evtsys –i –h 192.168.28.4 #(日志服务器的IP地址) -i 表示安装成系统服务 -h 指定log服务器的IP地址
启动该服务: C:\>net start evtsys
打开windows组策略编辑器 (开始->运行 输入 gpedit.msc) 在windows 设置-> 安全设置 -> 本地策略->审核策略中,打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。OK,所有的配置windows端配置完成.
如果要卸载evtsys,则: net stop evtsys evtsys -u
2 优先级
优先级是选择条件的第二个字段,它代表消息的紧急程度。对一个应用程序来说,它发出的哪些消息属于哪一种优先级是由当初编写它的程序员决定的,应用程序的 使用者只能接受这样的安排——除非打算重新编译系统应用程序。表2按严重程度由低到高的顺序列出了所有可能的优先级。
|
优先级
|
含义
|
符号
|
SYSLOG序列号
|
|
debug
|
调试级-信息量最多
|
LOG_DEBUG
|
7
|
|
info
|
通知性消息
|
LOG_iINFO
|
6
|
|
notice
|
普通但重要的消息
|
LOG_NOTICE
|
5
|
|
warning
|
警告消息
|
LOG_WARING
|
4
|
|
err
|
出错消息
|
LOG_ERR
|
3
|
|
crit
|
重要消息
|
LOG_CRIT
|
2
|
|
alert
|
紧急消息
|
LOG_ALERT
|
1
|
|
emerg
|
最紧急消息
|
LOG_EMERG
|
0
|
不同的服务类型有不同的优先级,数值较大的优先级涵盖数值较小的优先级。如果某个选择条件只给出了一个优先级而没有使用任何优先级限定符,对应于这个优先 级的消息以及所有更紧急的消息类型都将包括在内。比如说,如果某个选择条件里的优先级是“warning”,它实际上将把“warning”、 “err”、“crit”、“alert”和“emerg”都包括在内