概述:日志服务器的主要是在集群环境及一些认证(如:支付行业的PCI认证及国家的支付认证)必须要到的。主要用于集中存储程序日志、系统日志、交换机日志、防火墙日志。我现在主要说的是windows,linux的系统日志的收集。

一、系统环境:windows server 2008,centos 6.2。

二、软件版本:

     1、syslog-ng_3.3.5.tar.gz(linux下安装)安装见 syslog-ng的安装

     2、eventlog_0.2.12.tar.gz(linux下安装)安装见 syslog-ng的安装

     3、EvtSys_4.4.3_64-Bit-LP.zip (lwindow下安装,或安装32位的)。

三、linux日志服务器的配置(安装见 syslog-ng的安装)

     1、syslog-ng介绍

syslog-ng作为syslog的替代工具,可以完全替代syslog的服务,并且通过定义规则,实现更好的过滤功能。

     2、syslog-ng服务器的配置

           安装目录是在 /opt/syslog-ng,

           打开配置文件: #vi  /opt/syslog-ng/syslog-ng.conf

centos 日志服务器搭建 linux 日志服务器搭建及配置_linux

#############################################################################
# Default syslog-ng.conf file which collects all local logs into a
# single file called /var/log/messages.
#

@version: 3.3
options {
        flush_lines(0);
        chain_hostnames(off);
        use_dns (no);
        use_fqdn (no);
        create_dirs (yes);
        keep_hostname(yes);
        stats_freq(600);
        stats_level(2);
};
source s_local {
        system();
        internal();
};
source s_network {
        udp();
};
source s_remote{
 udp(ip(0.0.0.0) port(514));
};

destination d_local {
     file("/home/log/syslog-ng/$HOST/log-$YEAR$MONTH$DAY.log" owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));
};
log {
        source(s_remote);
        # uncomment this line to open port 514 to receive messages
        destination(d_local);
};

centos 日志服务器搭建 linux 日志服务器搭建及配置_linux

四、linux日志客户端的配置(安装见 syslog-ng的安装

      1、syslog-ng客户端的配置

           安装目录是在 /opt/syslog-ng,

           打开配置文件: #vi  /opt/syslog-ng/syslog-ng.conf

  source s_local {system();internal();};

destination d_udp {udp("192.168.1.51" port(514)); };
log { source(s_local); destination(d_udp); };
source 为日志源,system为系统日志,internal为网络连接日志。
destination  是新建一个目标。名称为 d_udp 通过UDP协议。192.168.1.51 为日志服务器的IP,514为日志服务器的日志端口。
注意:syslog-ng的具体配置请查看详细文档,后继我会整理出来。

      2、保存后重启动一下系统。并在保证syslog-ng服务会随系统启动而启动。

五、windows日志客户端的配置的配置

     1、EvtSys的介绍

       Evtsys是用C写的程序,提供发送Windows日志到syslog服务器的一种方式。它支持Windows Vista和Server 2008,并且编译后支持32和64位环境。它被设计用于高负载的服务器,Evtsys快速、轻量、高效率。并可以作为Windows服务存在。

      2、 EvtSys的安装

       下载Evtsys后,将其复制到系统目录,XP下是Windows\system32目录。然后在CMD下执行:evtsys.exe -i -h 192.168.1.51 -p 514    

       evtsys -i -h 192.168.1.51

   参数说明:
   i是安装成Window服务;
   h是syslog服务器地址;
   p是syslog服务器的接收端口。
   默认下,端口可以省略,默认是514.

   启动Evtsys服务,命令是:

      net start evtsys

   查看Windows的“服务”,发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”,并且已经启动。

六、完成。