最近在運維項目中遇到了需要用日志服務器來存儲防火牆日志,問了好多人都不會搭建,沒辦法只能自己百度找教程,卻沒找到比較好的。
下面是我自己總結的比較簡單的搭建方法:
一、Kiwi_Syslog的安裝
下載地址:鏈接:http://pan.baidu.com/s/1mhVr84S 密碼:ptas
1、 下載kiwi_syslog_server,解壓后,運行Kiwi_Syslog_Server_9.5.0.setup.exe ,點 I Agree ;
2、默認選項,然后點Next繼續
3、默認選項,點擊Next
4、(這里的意思好像是 安裝網頁的日志獲取服務,具體看不懂,不安裝不影響正常使用。)我這里將對勾去掉,然后點Next
5、默認設置
6、默認路徑,點擊install
6、如果在這里提示需要安裝.net 3.5點擊安裝即可
(如果提示無法安裝的話關閉就行,安裝程序會繼續的,但是需要在安裝完成后手動安裝.net 3.5)
7、完成后取消對勾點Finish
8、安裝完成后在任務管理器中先結束掉syslogd_service的進程
9、將“Keygen注冊機”文件夾中SolarWinds.Licensing.Framework.dll和ufmod.dll復制到軟件安裝目錄“C:\Program Files (x86)\Syslogd”覆蓋
10、打開桌面上的Kiwi Syslog Server Console程序
11、點擊上方Help>>Enter license details選擇第二個選項點Next
12、點擊復制ID
13、然后打開剛才的“Keygen注冊機”文件夾的“keygen.exe”
14、將ID復制進去,username隨便填,時間默認就行
15、然后點Generate!導出文件到隨便一個目錄
16、然后再回到剛才的軟件點導入,選擇剛才導出的文件
17、然后點完成后就會出現一個序列號的彈框,點Close關閉就行
這樣安裝和注冊就已經完成了
二、配置
1、點擊左上角的File>>Setup
2、選擇左側Log to file
3、這里可以設置日志文件的存放位置以及存放格式
kiwi syslog軟件收集的SNMP數據默認的保存方式是:以日期時間為序,在一個文件中保存所有設備的日志,每小時生成一個文件。這樣的保存方式是很不利於查詢各設備的log信息的,所以在比較新的版本中增加了以設備IP地址分開保存的方式,但軟件上的設置選項並未明確提示,所以一般很容易忽略掉。應在log to files的選項卡中的保存路徑和文件名選項中手工鍵入:\sys%IPAdd4.txt 如下圖
設置好后點Apply
4、再點擊左側Shedules,然后點擊左上角的“新建”進行配置計划任務
Schedule字段添加日志計划頻率(按小時算、每6個小時記錄一次,一天記錄4次)
Source字段(設置臨時存儲日志的路徑)
Destination字段(設置最終日志存儲目錄)
我這里設置的是6小時記錄一次,其他都是默認的
這里是最后保存log文件的位置,可以隨意設置。我這里是默認路徑
5、點擊左側Input>UDP修改Date encoding的值為Utf-8防止部分帶有漢字的日志為亂碼
這樣配置就做好了
注意:如果以上操作都沒問題后,需要重啟服務器才可以正常使用
三、發送端的設置(比如:防火牆或者windows)
1、防火牆的話每個品牌的設置方法都不一樣,我這里是網神的防火牆
具體請查詢設備文檔
2、Windows的設置如下
需要先下載Evtsys
鏈接:http://pan.baidu.com/s/1i4BeMZ7 密碼:5b1u
解壓后,先選擇對應的系統文件
然后將文件夾里的全部文件拷貝到“C:\Windows\System32”目錄
打開Windows命令提示符
(開始>運行>輸入CMD回車進入Windows命令提示符)
輸入
evtsys.exe -i -h 192.168.100.1;
注釋:
-i 表示安裝成系統服務
-h 指定log服務器的IP地址
這里的ip地址改成剛配置好Kiwi_syslog的服務器地址
然后再啟動該服務
net start evtsys
啟動后會有中文提示:服務已經啟動成功
卸載該服務的命令是
net stop evtsys
evtsys -u
其他設備的設置
1、 Cisco客戶端設備配置
進入到conf模式配置
R1#configure t
R1(config)#logging on #開啟日志服務
R1(config)#logging host 192.168.100.100 #定義日志服務器IP地址
R1(config)#logging facility local7 #定義facility級別,默認為7
R1(config)#logging trap 7 #定義severity級別(0-7;日志記錄級別 7表示全部啟用)
R1(config)#logging source-interface e0 #日志發出使用的端口
R1(config)#exit
R1#show logging
2、 Huawei設備舉例
system-view
[Sysname] info-center enable #開啟信息中心
[Sysname] info-center loghost 192.168.100.100 channel loghost #指定向日志主機輸出日志信息的通道為 loghost 通道
[Sysname] info-center source default channel loghost debug state off log state off trap state off #關閉所有模塊日志主機的 log、trap、debug 的狀態(注意:由於系統對各通道允許輸出的系統信息的缺省情況不一樣,所以配置前必須將所有模塊的需求通道(本例為loghost )上log、trap、debug 狀態設為關閉,再根據當前的需求配置輸出相應的系統信息。可以用display channel 命令查看通道的狀態)。
[Sysname] info-center source default channel loghost log level informational #允許輸出信息的模塊為所有模塊 source:default
display channel loghost #查看通道狀態
————————————————