Syslog被廣泛應用於系統日志中。基於此種場景,網絡中的各種設備可以將系統日志以syslog的格式發送給日志服務器,記錄和存儲日志。Suse和Windows是2類使用syslog記錄系統日志的典型系統,下面是配置它們發送syslog的方法。
1. 配置Windows發送syslog
Windows系統自帶默認服務中並無發送syslog的配置功能。所以,需要借助工具來實現Windows系統發送syslog到日志服務器的場景。
1.1 Windows系統發送syslog配置工具evtsys下載
下載官方地址:https://code.google.com/archive/p/eventlog-to-syslog/downloads
1.2 evtsys工具配置
首先,需把下載好的安裝包解壓。解壓到任意目錄,比如:D:\evtsys\evtsys.exe。
然后,調出cmd命令窗。cd到當前目錄,執行evtsys.exe命令,指定syslog服務器地址和端口號。
evtsys.exe -i -h 192.168.10.100 -p 514
注:-h 目的日志服務器的接口IP; -p 目的日志服務器的端口,默認為514。
1.3 啟動evtsys服務
完成配置之后,啟動evtsys服務。
net start evtsys
這樣,就完成了Windows服務器上的syslog發送配置和啟動。並且,即使計算機重啟,該服務也會默認開機啟動。
1.4 停止evtsys服務
停止evtsys服務同樣是在cmd里執行:
net stop evtsys
命令窗回顯:Eventlog to Syslog 服務已成功停止。
1.5 卸載evtsys服務
evtsys.exe -u
Command completed successfully
其他的譬如,日志對接和測試,這里就不贅述了。
2. 配置Suse發送syslog
2.1 syslog配置文件
修改Suse主機192.168.10.11上的syslog配置文件:vi /etc/rsyslog.conf
檢查文件里的配置,如果沒有配置過syslog外發,可以直接在文件的最后添加上配置:
*.* @192.168.10.100:514
然后保存,退出。
2.2 重啟rsyslog服務
systemctl restart rsyslog.service
如果該服務未啟動,直接啟動就行。
2.3 停止rsyslog服務
systemctl stop rsyslog.service
由於該服務在Suse系統上是自帶的,就不需要去刪除該服務了。