Syslog被广泛应用于系统日志中。基于此种场景,网络中的各种设备可以将系统日志以syslog的格式发送给日志服务器,记录和存储日志。Suse和Windows是2类使用syslog记录系统日志的典型系统,下面是配置它们发送syslog的方法。
1. 配置Windows发送syslog
Windows系统自带默认服务中并无发送syslog的配置功能。所以,需要借助工具来实现Windows系统发送syslog到日志服务器的场景。
1.1 Windows系统发送syslog配置工具evtsys下载
下载官方地址:https://code.google.com/archive/p/eventlog-to-syslog/downloads
1.2 evtsys工具配置
首先,需把下载好的安装包解压。解压到任意目录,比如:D:\evtsys\evtsys.exe。
然后,调出cmd命令窗。cd到当前目录,执行evtsys.exe命令,指定syslog服务器地址和端口号。
evtsys.exe -i -h 192.168.10.100 -p 514
注:-h 目的日志服务器的接口IP; -p 目的日志服务器的端口,默认为514。
1.3 启动evtsys服务
完成配置之后,启动evtsys服务。
net start evtsys
这样,就完成了Windows服务器上的syslog发送配置和启动。并且,即使计算机重启,该服务也会默认开机启动。
1.4 停止evtsys服务
停止evtsys服务同样是在cmd里执行:
net stop evtsys
命令窗回显:Eventlog to Syslog 服务已成功停止。
1.5 卸载evtsys服务
evtsys.exe -u
Command completed successfully
其他的譬如,日志对接和测试,这里就不赘述了。
2. 配置Suse发送syslog
2.1 syslog配置文件
修改Suse主机192.168.10.11上的syslog配置文件:vi /etc/rsyslog.conf
检查文件里的配置,如果没有配置过syslog外发,可以直接在文件的最后添加上配置:
*.* @192.168.10.100:514
然后保存,退出。
2.2 重启rsyslog服务
systemctl restart rsyslog.service
如果该服务未启动,直接启动就行。
2.3 停止rsyslog服务
systemctl stop rsyslog.service
由于该服务在Suse系统上是自带的,就不需要去删除该服务了。