KIWI Syslog配置

日志服务器Kiwi+Syslogd+8.3.7破解版

Window收集服务器日志evtsys_exe_32

默认地，kiwi使用UDP 514端口接收日志数据，安装成功后即可接收日志

使用命令netstat –ano查看服务器监听状态，如果服务没起来，则重新启动服务Kiwi Syslog Daemon

任务：把当天的日志保存在G:\event，历史日志保存在G:\eventold，自动删除1一个月前的日志记录

第一步：新建规则CiscoRouter

1.新建Filters IP:收集来自192.168.0.1的日志

2.新建Action Display01：收集的数据显示在软件的第一个屏幕（00-09）

3.新建Action Log to file：设置日志保存路径G:\event

如果启用Enable Log File Rotaion,设置Maximum log file 1 Day(s)则每天保存一个当天的日志，并且命名格式为Cisco.txt.001，Cisco.txt.002，如此类推保存每天的日志
这里我们不进行设置

第二步：设置保存每天日志、删除1个月前旧日志的计划安排

1.新建计划Save File，频率设置为每天一次，其他默认

设置备份日志的源路径G:\event

Destination

每天将源路径文件移动到目标文件夹G:\eventold，并且新建以当天日期命名的文件夹,这样源路径就只保存有当天的日志

Archive Options

可以把移动的文件进行压缩设置，或者触发一个程序的运行，这里我们不设置

Archive Notifications

如果软件email选项设置了邮件帐号，还可以通过该设置，把每天的报告发给指定的邮箱

2.新建计划Clean Up

Source需要删除一个月前的日志文件G:\eventold

 

Cisco Logging配置

logging on
logging host 192.168.0.x
logging facility local7 将记录事件类型定义为local7
logging trap warning 将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslog server.
logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址
service timestamps log datetime 发送记录事件的时候包含时间标记
到此配置完毕

Window Logging 配置

解压后是两个文件evtsys.dll和evtsys.exe ，把这两个文件拷贝到 c:\windows\system32目录下。（64位系统(c:\windows\SysWOW64\)

打开Windows命令提示符（开始－>运行 输入CMD）

C:\>evtsys –i –h 192.168.0.2

-i 表示安装成系统服务   -h 指定log服务器的IP地址

打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)，在windows设置－> 安全设置 －> 本地策略－>审核策略中，打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。

卸载：1. net stop evtsys  2. evtsys –u