如何在windows2008建立syslog服務器

我們需要測試一種集中日志系統，要在Windows上建立一個類Linux下的集中日志系統。

作為一家“創意+整合+營銷”的成都網站建設機構，我們在業內良好的客戶口碑。創新互聯提供從前期的網站品牌分析策劃、網站設計、網站設計、網站制作、創意表現、網頁制作、系統開發以及后續網站營銷運營等一系列服務，幫助企業打造創新的互聯網品牌經營模式與有效的網絡營銷方法,創造更大的價值。

經過比較Winsyslog和Kiwisyslog等工具，最終選定Kiwisyslog()，它不僅功能齊全，而且提供免費的版本。

Kiwisyslog遵循標準的日志協議(RFC 3164)，并支持UDP/TCP/SNMP幾種方式的日志輸入。它默認是個免費的功能受限版（但功能基本夠用了，只是沒有找到漢化），自帶發送模擬器﹑日志瀏覽器等實用工具。

我還測試了一下把ACE日志寫到syslog的功能。過程記錄如下：

1）使用klog工具

這個主要用到kiwisyslog的klog實用工具(這個工具同時提供dll庫的調用方式,真是好東西，我決定以后在我的應用里都用它！)，它支持直接或用重定向的方法輸出日志到kiwisyslog。

klog –m "It's almost lunchtime"

DIR *.* | klog -h 192.168.1.2 -i

但我試圖使用ACE應用日志輸出到kiwisyslog時（ace_app.exe | klog -h 192.168.1.2 -i的形式），發現日志內容里前后有亂碼出現，即ACE的日志輸出直接重定向到klog再轉到kiwisyslog有問題；并且不能按時間一行一行的輸出，而是等應用程序執行結束時一股腦輸出到kiwisyslog（按回車換行切開成一條一條日志）。如果程序非正常結束，還不能將輸出日志內容傳到 kiwisyslog。

還有一個方法是在Windows通過設置可以把ACE日志輸出到系統日志里面。

ACE_LOG_MSG-set_flags(ACE_Log_Msg::SYSLOG);

然后按下面2）的方法轉到kiwisyslog。

2）還可以把Windows下的事件日志轉到Linux下的syslog

我們需要第三方的軟件來將windows的日志轉換成syslog類型的日志后，轉發給syslog服務器。

介紹第三方軟件evtsys (全稱是evntlog to syslog)

文件才幾十K大小，非常小巧，解壓后是兩個文件evtsys.dll和evtsys.exe

把這兩個文件拷貝到 c:/windows/system32目錄下。

打開Windows命令提示符（開始－運行輸入CMD）

C:/evtsys –i –h 192.168.10.100

-i 表示安裝成系統服務

-h 指定log服務器的IP地址

如果要卸載evtsys,則：

net stop evtsys

evtsys -u

啟動該服務:

C:/net start evtsys

打開windows組策略編輯器 (開始-運行輸入 gpedit.msc)

在windows設置－ 安全設置－ 本地策略－審核策略中，打開你需要記錄的windows日志。evtsys會實時的判斷是否有新的windows日志產生，然后把新產生的日志轉換成syslogd可識別的格式,通過UDP 3072端口發送給syslogd服務器。

如何在windows服務器中使用syslog功能？

方法/步驟：

1. 首先根據自己的windows系統的版本（32/64位），在網上下載相應的版本。我的系統為64位版本，因此下載64位版本；

2. 然后將下載后的軟件內的兩個文件evtsys.dll和evtsys.exe，拷貝到系統內c:\windows\system32目錄下；

3. 這一步找到命令提示符，右擊選擇以管理員身份運行。詳細操作如下圖所示；

4. 在操作窗口內，首先輸入cd?c:\windows\system32 命令進入?c:\windows\system32目錄下，然后執行命令evtsys –i –h 192.168.2.104 。下面詳細介紹evtsys命令參數意思。

-i 表示安裝成系統服務

-h 指定log服務器的IP地址

如要設置端口，在IP地址后加上自己要設置的端口就可以了。ip地址與端口之間要有空格隔開。默認不寫端口為514端口。

執行完以上命令后，evtsys已經安裝成功，且已經成功注冊到服務列表。

5. 在開始-運行 輸入 gpedit.msc。進入windows本地組策略編輯器，在該窗口內，選擇Windows設置-安全設置。打開你需要記錄的windows日志。evtsys會實時的判斷是否有新的windows日志產生，然后把新產生的日志轉換成syslogd可識別的格式,通過UDP 514端口發送給syslogd服務器；

6. 啟動服務。在以管理員身份運行的命令提示符窗口內，執行命令:net start evtsys即可啟動服務。接下來進行測試是否發送成功；

7. 打開syslogwatcher進行相應的設置，設置端口為514端口，接受字符碼為：UTF-8碼。然后點擊listen。進行監聽514端口。查看是否有windows日志發出。

為測試效果明顯，可以重啟安裝evtsys的機器。（本次安裝syslogwatcher與evtsys不在同一臺機器，便于測試）。

如重啟安裝evtsys的機器仍未看到日志。則通過以下幾點進行排除。

1.確認接收日志端的系統防火墻已經關閉。

2.確認安裝evtsys的機器，是否已經啟動該服務，如未啟動，在服務列表點擊啟動。

求助如何架設log 服務器并自動上傳日志

百度一下3CD，一個很常用的小軟件，包括FTP，TFTP，LOG server等。操作很簡單，把設備上的日志主機指定到裝了該軟件的電腦即可