日志服务器的配置

　　概述：日志服务器的主要是在集群环境及一些认证(如：支付行业的PCI认证及国家的支付认证)必须要到的。主要用于集中存储程序日志、系统日志、交换机日志、防火墙日志。我现在主要说的是windows,linux的系统日志的收集。

一、系统环境：windows server 2008,centos 6.2。

二、软件版本：

     1、syslog-ng_3.3.5.tar.gz（linux下安装）安装见 syslog-ng的安装

     2、eventlog_0.2.12.tar.gz（linux下安装）安装见 syslog-ng的安装

     3、EvtSys_4.4.3_64-Bit-LP.zip （lwindow下安装,或安装32位的）。

三、linux日志服务器的配置（安装见 syslog-ng的安装）

     1、syslog-ng介绍

        syslog-ng作为syslog的替代工具，可以完全替代syslog的服务，并且通过定义规则，实现更好的过滤功能。

     2、syslog-ng服务器的配置

           安装目录是在 /opt/syslog-ng,

           打开配置文件： #vi  /opt/syslog-ng/syslog-ng.conf

#############################################################################
# Default syslog-ng.conf file which collects all local logs into a
# single file called /var/log/messages.
#

@version: 3.3
options {
        flush_lines(0);
        chain_hostnames(off);
        use_dns (no);
        use_fqdn (no);
        create_dirs (yes);
        keep_hostname(yes);
        stats_freq(600);
        stats_level(2);
};
source s_local {
        system();
        internal();
};
source s_network {
        udp();
};
source s_remote{
 udp(ip(0.0.0.0) port(514));
};

destination d_local {
     file("/home/log/syslog-ng/$HOST/log-$YEAR$MONTH$DAY.log" owner(root) group(root) perm(0600) dir_perm(0700) create_dirs(yes));
};
log {
        source(s_remote);
        # uncomment this line to open port 514 to receive messages
        destination(d_local);
};

四、linux日志客户端的配置（安装见 syslog-ng的安装）

      1、syslog-ng客户端的配置

           安装目录是在 /opt/syslog-ng,

           打开配置文件： #vi  /opt/syslog-ng/syslog-ng.conf

  source s_local {system();internal();};

destination d_udp {udp("192.168.1.51" port(514)); };
log { source(s_local); destination(d_udp); };          

source 为日志源，system为系统日志，internal为网络连接日志。
destination  是新建一个目标。名称为 d_udp 通过UDP协议。192.168.1.51 为日志服务器的IP,514为日志服务器的日志端口。
注意：syslog-ng的具体配置请查看详细文档，后继我会整理出来。

      2、保存后重启动一下系统。并在保证syslog-ng服务会随系统启动而启动。

五、windows日志客户端的配置的配置

     1、EvtSys的介绍

       Evtsys是用C写的程序，提供发送Windows日志到syslog服务器的一种方式。它支持Windows Vista和Server 2008，并且编译后支持32和64位环境。它被设计用于高负载的服务器，Evtsys快速、轻量、高效率。并可以作为Windows服务存在。

      2、 EvtSys的安装

       下载Evtsys后，将其复制到系统目录，XP下是Windows\system32目录。然后在CMD下执行：evtsys.exe -i -h 192.168.1.51 -p 514    

       evtsys -i -h 192.168.1.51

　　 参数说明：
　　 i是安装成Window服务；
　　 h是syslog服务器地址；
　　 p是syslog服务器的接收端口。
　　 默认下，端口可以省略，默认是514.

　　 启动Evtsys服务，命令是：

      net start evtsys

　　 查看Windows的“服务”，发现在原本Event Log服务下面增加了一个“Eventlog to Syslog”，并且已经启动。

六、完成。