集中監控Windows事件日誌

平時工做中，都會在每臺終端上配置審覈策略後，這樣一旦發生問題，

就能夠經過終端上的事件查看器，能夠掌握終端上發生的不少操做行爲，

對於定位問題和分析問題緣由頗有幫助。

 

但是這有一個問題，終端數目不少，並且都在用戶的使用中，並不方便

到具體終端上檢查問題，這樣就須要相似於交換機和路由器等網絡設備

同樣，經過syslog將日誌發送到網絡上的日誌服務器上，維護人員就能

夠很方便的在本身的終端上登陸日誌服務器工做，而不須要到用戶終端

上查看，對提升工做效率很是有用。

 

怎麼實現呢？很簡單，就幾步。

 

1. 首先從網上下載所須要的軟件，

 

evtsys 幾十kb的小軟件，能夠將windows事件轉化爲syslog消息，發送出來。

一個syslog服務器，若是已經建了，就不須要在安裝了。

 

2.安裝evtsys

evtsys使用命令行方式安裝爲windows的一個服務

將evtsys 的可執行程序和動態庫都拷貝到windows的system32目錄下，而後執行

命令

evtsys –i –h syslog服務器的地址

默認使用udp 514端口

若是爲提升安全性，須要更改，在命令行後面再跟上-p 自定義的端口

 

3.在服務中，啓動eventlog to syslog服務。

 

4.在syslog服務器上，就收到來自終端的windows事件了

 

可是不忙，咱們發現中文都顯示成了亂碼，怎麼辦？

 

對於一些比較好的syslog服務器，提供了配置文字編碼的選項

以kiwi syslog server爲例，在setup配置中，將udp協議輸入的文字編碼修改成

utf-8，亂碼就沒有了，顯示正常的中文。

 

但一些相對比較簡單的syslog服務器，例如SyslogGather，我並無找到配置的

位置，沒能解決亂碼的問題。