KIWI Syslog配置
默認地,kiwi使用UDP 514端口接收日志數據,安裝成功后即可接收日志
使用命令netstat –ano查看服務器監聽狀態,如果服務沒起來,則重新啟動服務Kiwi Syslog Daemon
任務:把當天的日志保存在G:\event,歷史日志保存在G:\eventold,自動刪除1一個月前的日志記錄
第一步:新建規則CiscoRouter
1.新建Filters IP:收集來自192.168.0.1的日志
2.新建Action Display01:收集的數據顯示在軟件的第一個屏幕(00-09)
3.新建Action Log to file:設置日志保存路徑G:\event
如果啟用Enable Log File Rotaion,設置Maximum log file 1 Day(s)則每天保存一個當天的日志,並且命名格式為Cisco.txt.001,Cisco.txt.002,如此類推保存每天的日志
這里我們不進行設置
第二步:設置保存每天日志、刪除1個月前舊日志的計划安排
1.新建計划Save File,頻率設置為每天一次,其他默認
設置備份日志的源路徑G:\event
Destination
每天將源路徑文件移動到目標文件夾G:\eventold,並且新建以當天日期命名的文件夾,這樣源路徑就只保存有當天的日志
Archive Options
可以把移動的文件進行壓縮設置,或者觸發一個程序的運行,這里我們不設置
Archive Notifications
如果軟件email選項設置了郵件帳號,還可以通過該設置,把每天的報告發給指定的郵箱
2.新建計划Clean Up
Source需要刪除一個月前的日志文件G:\eventold
Cisco Logging配置
logging on
logging host 192.168.0.x
logging facility local7 將記錄事件類型定義為local7
logging trap warning 將記錄事件嚴重級別定義為從warningl開始,一直到最緊急級別的事件全部記錄到前邊指定的syslog server.
logging source-interface loopback0 指定記錄事件的發送源地址為loopback0的IP地址
service timestamps log datetime 發送記錄事件的時候包含時間標記
到此配置完畢
Window Logging 配置
解壓后是兩個文件evtsys.dll和evtsys.exe ,把這兩個文件拷貝到 c:\windows\system32目錄下。(64位系統(c:\windows\SysWOW64\)
打開Windows命令提示符(開始->運行 輸入CMD)
C:\>evtsys –i –h 192.168.0.2
-i 表示安裝成系統服務 -h 指定log服務器的IP地址
打開windows組策略編輯器 (開始->運行 輸入 gpedit.msc),在windows設置-> 安全設置 -> 本地策略->審核策略中,打開你需要記錄的windows日志。evtsys會實時的判斷是否有新的windows日志產生,然后把新產生的日志轉換成syslogd可識別的格式,通過UDP 3072端口發送給syslogd服務器。
卸載:1. net stop evtsys 2. evtsys –u