利用Syslog Watcher在windows下部署syslog日誌服務器

1.概述

syslog協議是各類網絡設備、服務器支持的網絡日誌記錄標準。Syslog消息提供有關網絡事件和錯誤的信息。系統管理員使用Syslog進行網絡管理和安全審覈。

經過專用的syslog服務器和syslog協議未來自整個網絡的事件記錄整合到一箇中央存儲庫中，對於網絡安全具備重大意義，syslog日誌服務器可收集，解析，存儲，分析和解釋系統日誌消息給專業網絡安全管理員，有助於提升網絡的穩定性和可靠性。

經過Syslog Watcher可在windows平臺搭建日誌集中服務器，便於管理並知足合規需求。

 

2.安裝服務端

可前往https://syslogwatcher.com下載軟件並安裝。

在Syslog Watcher部署完成後需對其配置進行修改，主要修改以下：

• 將編碼格式修改成UTF-8否則會出現日誌亂碼問題。

• 可自定義監聽端口

 

 

3.安裝客戶端

本文使用nxlog做爲windows日誌手機客戶端，可前往https://nxlog.co/下載軟件並安裝。

在部署完成後需對nxlog.conf配置文件進行修改，主要修改以下：

Panic Soft
#NoFreeOnExit TRUE

define ROOT     D:\nxlog  #安裝路徑
define CERTDIR  %ROOT%\cert
define CONFDIR  %ROOT%\conf
define LOGDIR   %ROOT%\data
define LOGFILE  %ROOT%\data\nxlog.log #日誌路徑
LogFile %LOGFILE%

Moduledir %ROOT%\modules
CacheDir  %ROOT%\data
Pidfile   %ROOT%\data\nxlog.pid
SpoolDir  %ROOT%\data

<Extension _syslog> Module xm_syslog #syslog服務 </Extension> <Input in> Module im_msvistalog #對windowsvista及以上適用 ReadFromLast FALSE SavePos FALSE # Query <QueryList>\ # <Query Id="0">\ # <Select Path="Application">*</Select>\ # <Select Path="System">*</Select>\ # <Select Path="Security">*</Select>\ # </Query>\ # </QueryList> </Input> <Output out> #輸出到遠程日誌服務器 Module om_udp Host 10.10.0.36 Port 514 Exec to_syslog_snare(); </Output> <Output out2> #輸出到遠程日誌服務器 Module om_udp Host 10.10.0.37 Port 666 Exec to_syslog_snare(); </Output> <Route 1> #輸出規則 Path in => out </Route> <Route 2> #輸出規則 Path in => out2 </Route> #<Extension _charconv> # Module xm_charconv # AutodetectCharsets gb2312 # AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32 #</Extension> <Extension _exec> Module xm_exec </Extension> <Extension _fileop> Module xm_fileop # Check the size of our log file hourly, rotate if larger than 5MB <Schedule> Every 1 hour Exec if (file_exists('%LOGFILE%') and \ (file_size('%LOGFILE%') >= 5M)) \ file_cycle('%LOGFILE%', 8); </Schedule> # Rotate our log file every week on Sunday at midnight <Schedule> When @weekly Exec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8); </Schedule> </Extension>