内网syslog实践

目标是要把各个设备的系统日志收集起来，便于调试查看。

记录各个系统使用syslog。

syslog目的是把各个设备的系统日志收集起来，便于集中查看。

实验环境

主机	OS	用途
192.168.31.250	windows server 2022	日志服务器
192.168.31.250	windows server 2022	syslog 发送日志（客户端），这台机同时也做日志服务器。
192.168.31.240	debian 12	syslog 发送日志（客户端）
192.168.31.220	Unraid 6.12.6	syslog 发送日志（客户端）

Server

windows ：Kiwi Syslog Server

主机IP：192.168.31.250

windows/windows server系统搭建syslog服务器，使用Kiwi_Syslog_Server_9.5.0。

安装与激活，参考：

https://blog.csdn.net/ytlzq0228/article/details/104826989

2015年的老软件，资源占用并不多。

Client

Unraid

主机IP：192.168.31.220

Unraid系统自带syslog日志客户端，在WebUI设置日志服务器即可。

设置>系统日志服务器>远程系统日志服务器

注册完成后，在syslog server即可看到当前主机192.168.31.220的日志。

windows : evtsys

主机IP：192.168.31.250

Windows系统并无发送syslog的配置功能。所以，需要借助evtsys来实现Windows系统日志采集。

evtsys代码托关于Google Code：

https://code.google.com/archive/p/eventlog-to-syslog/downloads

我此时下载最新版本Evtsys_4.5.1_64-Bit.zip，解压到合适目录下。

启动Powershell，命令行 .\evtsys.exe -h可以查看参数用法。

#管理员权限
#注册服务，指定日志服务器
.\evtsys.exe -i -h 192.168.31.250 -p 514
#启动服务
net start evtsys

如果需要卸载

#管理员权限
#停止服务
net stop evtsys
#卸载服务
.\evtsys.exe -u -h 192.168.31.250 -p 514

注册完成后，在syslog server即可看到当前主机192.168.31.250的日志。

debian12 : rsyslog

主机IP：192.168.31.240

debian 12 不再附带 syslog，它已被journald取代。如果想要使用syslog，可以安装和配置 rsyslog。

#安装rsyslog
apt install rsyslog
#编辑配置文件
vi /etc/rsyslog.conf
#最下方添加一行，指定消息都发往日志服务器
*.info;mail.none;authpriv.none;cron.none @192.168.31.250:514  
#保存后重启服务
systemctl restart rsyslog

完成后，在syslog server即可看到当前主机192.168.31.240的日志。

总览

至此，3台客户端的日志消息都可以在日志服务器看到。