日誌分析-2.發送windows日誌到一個遠程的rsyslog服務器上
要將一個Windows客戶端的日誌消息轉發到我們的rsyslog服務器,需要一個安裝 Windows syslog 代理。
1.SyslogAgent
http://download.cnet.com/Datagram-SyslogAgent/3000-2085_4-10370938.html
2.安裝SyslogAgent
這裏省略安裝步驟
3.相應的設置
需要將其配置爲作爲服務運行,連接install,點
Rsyslog 服務器如何配置,請查看
http://yuanji6699.blog.51cto.com/11568362/1775019
擊後配置rsyslog服務器ip,端口
配置要監控的日誌類型 event logs
4.點擊 start Service
之後在服務器192.1368.10.222 查看/var/log/message
可以看到日誌已經傳送過來
May 19 12:52:30 YUANJImicrosoft-windows-security-auditing[success] 5158
May 19 12:53:33 YUANJImicrosoft-windows-security-auditing[success] 5156 Windows
【有個問題沒有解決】
Window傳送過來的是亂碼,不知道怎麼解決,有知道高手可以指點一下。
May 19 12:44:30 YUANJI microsoft-windows-security-auditing[success]5156 Windows #015#177#015#177:#015#177#011ID:#011#0114192#015#177#011015#177\devi
ce\harddiskvolume1\windows\system32\svchost.exe#015#177#015#177:#015#177#011:#011#011%14592#015#177#011:#011#011239.255.255.250#015#177#011:#011#0111900#015#177#011:#
011192.168.8.52#015#177#011011#01162086#015#177#011Э011#01117#015#177#015#177:#015#177#011ID:#0110#015#177#011011#011%14610#015#177#011 ID:#01144
May 19 12:44:30 YUANJImicrosoft-windows-security-auditing[success] 5156 Windows #015#177#015#177:#015#177#011ID:#011#0114#015#177#011011System#015#1
77#015#177:#015#177#011:#011#011%14593#015#177#011:#011#011192.168.8.23#015#177#011:#011#0118#015#177#011:#011119.145.220.85#015#177#011011#0110#015#177#011Э:#011#0111#015#177#015#177:#015#177#011ID:#0110#015#177#011011#011%14611#015#177#011 ID:#01148