syslog 实践

实验环境

Server

windows : Kiwi Syslog Server

主机 IP：192.168.31.250

windows/windows server 系统搭建 syslog 服务器，使用 Kiwi_Syslog_Server_9.5.0。

安装与激活，请参考以下博文：

【逗老师带你学 IT】Kiwi Syslog Web Access 与 Active Directory 集成认证-CSDN 博客

2015 年的老软件，资源占用并不多。

Client

Unraid

主机 IP：192.168.31.220

Unraid 系统自带 syslog 日志客户端，在 WebUI 设置日志服务器即可。

设置>系统日志服务器>远程系统日志服务器

注册完成后，在 syslog server 即可看到当前主机 192.168.31.220 的日志。

windows : evtsys

主机 IP：192.168.31.250

Windows 系统并无发送 syslog 的配置功能。所以，需要借助 evtsys 来实现 Windows 系统日志采集。

evtsys 代码托关于 Google Code：

https://code.google.com/archive/p/eventlog-to-syslog/downloads

我此时下载最新版本 Evtsys_4.5.1_64-Bit.zip，解压到合适目录下。

启动 Powershell，命令行 .\evtsys.exe -h可以查看参数用法。

1
2
3
4
5

#管理员权限
#注册服务，指定日志服务器
.\evtsys.exe -i -h 192.168.31.250 -p 514
#启动服务
net start evtsys

如果需要卸载

1
2
3
4
5

#管理员权限
#停止服务
net stop evtsys
#卸载服务
.\evtsys.exe -u -h 192.168.31.250 -p 514

注册完成后，在 syslog server 即可看到当前主机 192.168.31.250 的日志。

debian12 : rsyslog

主机 IP：192.168.31.240

debian 12 不再附带 syslog，它已被 journald 取代。如果想要使用 syslog，可以安装和配置 rsyslog。

1
2
3
4
5
6
7
8

#安装rsyslog
apt install rsyslog
#编辑配置文件
vi /etc/rsyslog.conf
#最下方添加一行，指定消息都发往日志服务器
*.info;mail.none;authpriv.none;cron.none @192.168.31.250:514
#保存后重启服务
systemctl restart rsyslog

完成后，在 syslog server 即可看到当前主机 192.168.31.240 的日志。

总览

至此，3 台客户端的日志消息都可以在日志服务器看到。

-EOF

查看最新版，请访问本文链接：https://blog.onehat.cn/p/7ea6.html

原创作品，转载请保留出处。