幾種常見的Windows日誌轉SYSLOG工具的使用方法

隨著資訊技術的高速發展，網路中的裝置越來越多的，漸漸的我們發現依賴傳統手段去一台台分析裝置（路由器、交換器、防火牆、伺服器、資料庫、中介軟體等）的日誌已經嚴重影響了我們的工作效率，並無法對業務系統的可用性提供保障。總是在問題出現之後才充當救火員的角色。所以，是時候對營運日誌進行集中管理了。

關鍵詞：syslog 日誌管理

如第一段文字所說，營運日誌有很多種，今天我們先說如何進行Windows日誌的發送，畢竟這個畢竟容易下手……遊俠會在近期撰寫服務端的一些文字。

Windows作業系統本身是可以產生很多日誌的，如每次插拔隨身碟、服務的重啟等，都會產生日誌，這些資訊會記錄在作業系統中，但Windows不像交換器、Linux那樣內建syslog，而Windows系統自身的日誌又不支援轉寄，所以要想收集Windows日誌，必須安裝Agent。用其將Windows的系統日誌、安全日誌、應用日誌等轉換為syslog然後轉寄給我們的伺服器端。

OK，現在我們說幾款常見的Windows日誌轉SYSLOG工具，遊俠選擇了開源或免費的工具，所以……放心的用吧！

1.evtsys

1.1.說明

Evtsys是用C寫的程式，提供發送Windows日誌到syslog伺服器的一種方式。它支援Windows Vista和Server 2008，支援32和64位環境。evtsys被設計用於高負載的伺服器，Evtsys快速、輕量、高效率。並可以作為Windows服務存在。

1.2.下載

http://code.google.com/p/eventlog-to-syslog/downloads/list

1.3.配置

Evtsys的安裝本來是要拷貝檔案、cmd輸入命令的，但是還是比較麻煩，遊俠這裡用批處理解決！Evtsys有兩個版本，安裝目錄不同，這裡分開說明：

1.3.1. 32位系統evtsys安裝

copy evtsys.exe c:\windows\system32\

copy evtsys.dll c:\windows\system32\

cd c:\windows\system32

evtsys.exe -i -h 192.168.1.41 -p 514

net start evtsys

1.3.2. 64位系統evtsys安裝

copy evtsys.exe c:\windows\SysWOW64\

copy evtsys.dll c:\windows\SysWOW64\

cd c:\windows\SysWOW64

evtsys.exe -i -h 192.168.1.41 -p 514

net start evtsys

我們可以看到32位系統下是把檔案複製到c:\windows\system32\目錄，而在64位系統下是複製到c:\windows\SysWOW64\目錄。中間的192.168.1.41是syslog伺服器的IP地址，這個要根據實際需求調整，否則收不到的哦！514是連接埠號碼，也一定別寫錯！

當然，evtsys還有一些進階用法，如過濾日誌等，請閱讀其內建的說明。

2.Snare

2.1.說明

SNARE for Windows是一款讓你很容易的把Windows（NT/2000/XP/2003等，亦支援64位系統）事件記錄即時轉寄到SYSLOG伺服器的程式，並且無論是32位還是64位系統，只有一個安裝包，也可以配置靜默安裝模式，當然這個需要您自己去看文檔了。

SNARE支援安全日誌、應用日誌、系統日誌，同時支援DNS、檔案複寫服務 (FRS)、活動目錄（Active Directory）日誌等。

2.2.下載

http://sourceforge.net/projects/snare/files/Snare%20for%20Windows/

2.3.配置

下載下來的檔案是SnareForWindows-4.x.x.x-MultiArch.exe這樣的，基本上只需要Next就可以安裝完畢。然後開始菜單中InterSect Alliance下面有三個子項：

Disable Remote Access to Snare for Windows：禁止Snare的遠端管理

Restore Remote Access to Snare for Windows：恢複Snare的遠端管理

Snare for Windows：程式配置介面，選擇後在瀏覽器開啟http://localhost:6161/地址，然後選擇左側菜單的Network Configuration選項：

其中的192.168.1.41是你syslog伺服器的IP地址，514是伺服器的連接埠號碼，其它的照上圖去配置就OK了。然後……你就會發現你的SYSLOG伺服器就可以收到Windows伺服器的日誌了！很方便。

3.NTsyslog

3.1.說明

NTsyslog是一款Free軟體，這裡你認為是自由軟體也好、免費軟體也好，都對！

NTsyslog作為一項服務存在於Windows NT作業系統。它把所有的系統、安全、應用事件格式化成一行，然後發送到syslog伺服器。

3.2.下載

http://sourceforge.net/projects/ntsyslog/files/Installer/NTSyslog%201.15%20%28full%29/

3.3.配置

安裝不說了，一路Next即可！裝完之後在案頭有個NTSyslogCtrl-Tool表徵圖，點擊運行。

點“syslog Daemons”寫入syslog伺服器的地址：

點擊Start Service開始服務就可以收到syslog了！

本文遊俠給大家介紹的是幾款將Windows日誌轉換為syslog的工具，可能有些讀者會問：有什麼作用？遊俠會在接下來的文章中繼續講解，這些日誌怎麼用的問題。歡迎關注 www.youxia.org（遊俠安全網）！

本文出自 “網路遊俠（張百川）” 部落格，請務必保留此出處http://youxia.blog.51cto.com/45281/761050