1.概述
syslog协议是各种网络设备、服务器支持的网络日志记录标准。Syslog消息提供有关网络事件和错误的信息。系统管理员使用Syslog进行网络管理和安全审核。
通过专用的syslog服务器和syslog协议将来自整个网络的事件记录整合到一个中央存储库中,对于网络安全具有重大意义,syslog日志服务器可收集,解析,存储,分析和解释系统日志消息给专业网络安全管理员,有助于提高网络的稳定性和可靠性。
通过Syslog Watcher可在windows平台搭建日志集中服务器,便于管理并满足合规需求。
2.安装服务端
可前往下载软件并安装。
在Syslog Watcher部署完成后需对其配置进行修改,主要修改如下:
- 将编码格式修改为UTF-8不然会出现日志乱码问题。
- 可自定义监听端口
3.安装客户端
本文使用作为windows日志手机客户端,可前往下载软件并安装。
在部署完成后需对nxlog.conf配置文件进行修改,主要修改如下:
Panic Soft#NoFreeOnExit TRUEdefine ROOT D:\nxlog #安装路径define CERTDIR %ROOT%\certdefine CONFDIR %ROOT%\confdefine LOGDIR %ROOT%\datadefine LOGFILE %ROOT%\data\nxlog.log #日志路径LogFile %LOGFILE%Moduledir %ROOT%\modulesCacheDir %ROOT%\dataPidfile %ROOT%\data\nxlog.pidSpoolDir %ROOT%\dataModule xm_syslog #syslog服务 Module im_msvistalog #对windowsvista及以上适用 ReadFromLast FALSE SavePos FALSE# Query\# \# \ # \ # \ # \ ##输出规则 Path in => out #输出规则 Path in => out2 ## Module xm_charconv # AutodetectCharsets gb2312 # AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32 # Module xm_exec Module xm_fileop # Check the size of our log file hourly, rotate if larger than 5MB Every 1 hour Exec if (file_exists('%LOGFILE%') and \ (file_size('%LOGFILE%') >= 5M)) \ file_cycle('%LOGFILE%', 8); # Rotate our log file every week on Sunday at midnightWhen @weekly Exec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);