windows主机下安装syslog日志客户端

《windows主机下安装syslog日志客户端》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、Windows主机下安装syslog日志客户端一、为什么使用日志客户端对于unix类主机以及交换机、路由器、防火墙等的日志记录，都可以通过syslog协议记录传输，但是Windows操作系统本身是可以产生很多日志的，如用户的登录、服务的重启等，都会产生日志，这些信息会记录在操作系统中，不支持把日志发送到syslog服务器去，所以要安装第三方软件转换Windows的日志。二、Evtsys介绍Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。它支持Windows2000、2003、Vis、XP和Se

2、rver2008，并且编译后支持32和64位环境。它被设计用于高负载的服务器，Evtsys快速、轻量、高效率。并可以作为Windows服务存在。下载地址：http://code.google.com/p/eventlog-to-syslog/三、Evtsys安装以及配置1.从官网点击download选择32位或者64位下载（此处以32位为例）2.下载后解压文件，Readme.rtf为说明文件，其余两个为程序文件32位系统evtsys安装　　copyevtsys.exec:windowssystem32　　copyevtsys

3、.dllc:windowssystem32　　cdc:windowssystem32　　evtsys.exe-i-h192.168.1.41-p514　　netstartevtsys64位系统evtsys安装　　copyevtsys.exec:windowsSysWOW64　　copyevtsys.dllc:windowsSysWOW64　　cdc:windowsSysWOW64　　evtsys.exe-i-h192.168.1.41-p514netstartevtsys3.开启系统相关审计打开windo

4、ws组策略编辑器(开始->运行输入gpedit.msc)在windows设置－>安全设置－>本地策略－>审核策略中，打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转换成syslogd可识别的格式,通过UDP端口发送给syslogd服务器。4.evtsys参数说明可以在下载后的安装包中查看说明文档有详细信息evtsys.exe-i

5、-u

6、-d[-hhost][-pport]-iInstallservice(安装服务)-uUninstallservice(卸载服务)-d

7、Debug:runasconsoleprogram(以debug模式运行)-hhostNameofloghost(日志服务器IP地址)-pportPortnumberofsyslogd(日志服务器端口，默认是514)亦可精简为：evtsys.exe-i-h192.168.1.101-p514　　参数说明：　　i是安装成Window服务；　　h是syslog服务器地址；　　p是syslog服务器的接收端口。　　默认下，端口可以省略，默认是514.启动Evtsys服务，命令是：netstartevtsys停止Evtsys服务，命令是：

8、netstopevtsys卸载evtsys，命令是：evtsys.exe-u4.Linuxsyslog服务器端配置因为evtsys是以daemon设备发送到服务器上的。因此，在/etc/syslog.conf中需加入以下配置：daemon.notice

9、/var/log/windows验证是否有信息