概述:日志服务器的主要是在集群环境及一些认证(如:支付行业的PCI认证及国家的支付认证)必须要到的。主要用于集中存储程序日志、系统日志、交换机日志、防火墙日志。我现在主要说的是windows,linux的系统日志的收集。
一、系统环境:windows server 2008,centos 6.2。
二、软件版本:
1、syslog-ng_3.3.5.tar.gz(linux下安装)安装见 syslog-ng的安装
2、eventlog_0.2.12.tar.gz(linux下安装)安装见 syslog-ng的安装
3、EvtSys_4.4.3_64-Bit-LP.zip (lwindow下安装,或安装32位的)。
三、linux日志服务器的配置(安装见 syslog-ng的安装)
1、syslog-ng介绍
syslog-ng作为syslog的替代工具,可以完全替代syslog的服务,并且通过定义规则,实现更好的过滤功能。
2、syslog-ng服务器的配置
安装目录是在 /opt/syslog-ng,
打开配置文件: #vi /opt/syslog-ng/syslog-ng.conf
#############################################################################
# Default syslog-ng.conf file which collects all local logs into a
# single file called /var/log/messages.
#
@version: 3.3
options {
flush_lines(0);
chain_hostnames(off);
use_dns (no);
use_fqdn (no);
create_dirs (yes);
keep_hostname(yes);
stats_freq(600);
stats_level(2);
};
source s_local {
system();
internal();
};
source s_network {
udp();
};
source s_remote{
udp(ip(0.0.0.0) port(514));
};
destination d_local {
file("/home/log/syslog-ng/$HOST/log-$YEAR$MONTH$DAY.log" owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));
};
log {
source(s_remote);
# uncomment this line to open port 514 to receive messages
destination(d_local);
};
四、linux日志客户端的配置(安装见 syslog-ng的安装)
1、syslog-ng客户端的配置
安装目录是在 /opt/syslog-ng,
打开配置文件: #vi /opt/syslog-ng/syslog-ng.conf
source s_local {system();internal();};
destination d_udp {udp("192.168.1.51" port(514)); };
log { source(s_local); destination(d_udp); };
source 为日志源,system为系统日志,internal为网络连接日志。
destination 是新建一个目标。名称为 d_udp 通过UDP协议。192.168.1.51 为日志服务器的IP,514为日志服务器的日志端口。
注意:syslog-ng的具体配置请查看详细文档,后继我会整理出来。
2、保存后重启动一下系统。并在保证syslog-ng服务会随系统启动而启动。
五、windows日志客户端的配置的配置
1、EvtSys的介绍
Evtsys是用C写的程序,提供发送Windows日志到syslog服务器的一种方式。它支持Windows Vista和Server 2008,并且编译后支持32和64位环境。它被设计用于高负载的服务器,Evtsys快速、轻量、高效率。并可以作为Windows服务存在。
2、 EvtSys的安装
下载Evtsys后,将其复制到系统目录,XP下是Windows\system32目录。然后在CMD下执行:evtsys.exe -i -h 192.168.1.51 -p 514
evtsys -i -h 192.168.1.51
参数说明:
i是安装成Window服务;
h是syslog服务器地址;
p是syslog服务器的接收端口。
默认下,端口可以省略,默认是514.
启动Evtsys服务,命令是:
net start evtsys
查看Windows的“服务”,发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”,并且已经启动。
六、完成。