2023年7月3日发(作者：)

利⽤SyslogWatcher在windows下部署syslog⽇志服务器1.概述syslog协议是各种⽹络设备、服务器⽀持的⽹络⽇志记录标准。Syslog消息提供有关⽹络事件和错误的信息。系统管理员使⽤Syslog进⾏⽹络管理和安全审核。通过专⽤的syslog服务器和syslog协议将来⾃整个⽹络的事件记录整合到⼀个中央存储库中，对于⽹络安全具有重⼤意义，syslog⽇志服务器可收集，解析，存储，分析和解释系统⽇志消息给专业⽹络安全管理员，有助于提⾼⽹络的稳定性和可靠性。通过Syslog Watcher可在windows平台搭建⽇志集中服务器，便于管理并满⾜合规需求。

2.安装服务端可前往下载软件并安装。在Syslog Watcher部署完成后需对其配置进⾏修改，主要修改如下：将编码格式修改为UTF-8不然会出现⽇志乱码问题。可⾃定义监听端⼝

3.安装客户端本⽂使⽤作为windows⽇志⼿机客户端，可前往下载软件并安装。在部署完成后需对配置⽂件进⾏修改，主要修改如下：Panic Soft#NoFreeOnExit TRUEdefine ROOT D:nxlog #安装路径define CERTDIR %ROOT%certdefine CONFDIR %ROOT%confdefine LOGDIR %ROOT%datadefine LOGFILE %ROOT% #⽇志路径LogFile %LOGFILE%Moduledir %ROOT%modulesCacheDir %ROOT%dataPidfile %ROOT%olDir %ROOT%data Module xm_syslog #syslog服务

Module im_msvistalog #对windowsvista及以上适⽤ ReadFromLast FALSE SavePos FALSE# Query # # *# *# *# #

#输出到远程⽇志服务器 Module om_udp

Host 10.10.0.36

Port 514

Exec to_syslog_snare();

#输出到远程⽇志服务器 Module om_udp

Host 10.10.0.37

Port 666

Exec to_syslog_snare(); #输出规则 Path in => out

#输出规则 Path in => out2

## Module xm_charconv# AutodetectCharsets gb2312# AutodetectCharsets iso8859-2, utf-8, utf-16, utf-32# Module xm_exec Module xm_fileop # Check the size of our log file hourly, rotate if larger than 5MB Every 1 hour Exec if (file_exists('%LOGFILE%') and (file_size('%LOGFILE%') >= 5M)) file_cycle('%LOGFILE%', 8); # Rotate our log file every week on Sunday at midnight When @weekly Exec if file_exists('%LOGFILE%') file_cycle('%LOGFILE%', 8);