免费syslog日志服务器,如何搭建日志服务器
如何在windows服务器中使用syslog功能
方法/步骤:
1.首先根据自己的windows系统的版本(32/64位),在网上下载相应的版本。我的系统为64位版本,因此下载64位版本;
2.然后将下载后的软件内的两个文件evtsys.dll和evtsys.exe,拷贝到系统内c:\windows\system32目录下;
3.这一步找到命令提示符,右击选择以管理员身份运行。详细操作如下图所示;
4.在操作窗口内,首先输入cdc:\windows\system32命令进入c:\windows\system32目录下,然后执行命令evtsys–i–h 192.168.2.104。下面详细介绍evtsys命令参数意思。
-i表示安装成系统服务
-h指定log服务器的IP地址
如要设置端口,在IP地址后加上自己要设置的端口就可以了。ip地址与端口之间要有空格隔开。默认不写端口为514端口。
执行完以上命令后,evtsys已经安装成功,且已经成功注册到服务列表。
5.在开始->运行输入 gpedit.msc。进入windows本地组策略编辑器,在该窗口内,选择Windows设置->安全设置。打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 514端口发送给syslogd服务器;
6.启动服务。在以管理员身份运行的命令提示符窗口内,执行命令:net start evtsys即可启动服务。接下来进行测试是否发送成功;
7.打开syslogwatcher进行相应的设置,设置端口为514端口,接受字符码为:UTF-8码。然后点击listen。进行监听514端口。查看是否有windows日志发出。
为测试效果明显,可以重启安装evtsys的机器。(本次安装syslogwatcher与evtsys不在同一台机器,便于测试)。
如重启安装evtsys的机器仍未看到日志。则通过以下几点进行排除。
1.确认接收日志端的系统防火墙已经关闭。
2.确认安装evtsys的机器,是否已经启动该服务,如未启动,在服务列表点击启动。
十款实用方便的日志分析工具
在日常网络管理工作中,分析日志文件成为掌握网络设备或应用性能数据的关键。这不仅帮助网络管理员及时发现潜在问题,还能快速采取措施解决。为了提升日志分析的效率与准确性,以下分享的十款日志分析工具,将为您的网络管理工作提供有力支持。
1、SolarWinds Log&Event Manager-专为Windows环境设计的日志分析工具,提供集中监控体验与事件时间检测功能。具备快速响应能力,可自动阻止IP、关闭应用、调整访问权限、禁用帐户和USB设备,最大程度减少风险。适用于大型企业,提供30天免费试用。
2、PRTG Network Monitor-作为强大的网络监控平台,其高度可定制的通知系统允许在任何设备上接收网络性能更新。免费版支持100个传感器,付费版提供更多功能。同样提供30天免费试用。
3、Papertrail-自动扫描日志数据,提供按时间、来源或自定义字段筛选日志事件的便利功能,消除不相关数据。支持检测日志数据趋势,允许按源、数据、严重性级别、工具或消息内容筛选事件。免费计划允许每月监控100 MB数据。
4、Splunk-广泛使用的日志管理平台,实时监控日志与数据,从网络中的任何设备或应用获取日志信息,提供实时搜索栏进行实时与历史数据查看。具备实时警报功能,确保不错过任何问题,有效缩短事件解决时间。免费版本每位用户最多支持500 MB数据。
5、XpoLog-通过网络收集与分析设备日志,提供实时监控与快速问题发现能力,具备AI驱动的错误检测功能,及时控制安全风险,识别性能不佳的日志模式。价格取决于所需用户数、保留数和数据量,Basic版本免费,每天支持1GB,5天数据保留。
6、ManageEngine EventLog Analyzer-提供简化用户体验,从多种安全解决方案中收集日志,具备警报系统帮助导航日志数据。适用于32位与64位的Windows与Linux,提供免费版与高级版。免费版最多支持五个日志源,高级版支持1000个日志源。
7、LOGalyze-面向企业用户的开源日志分析器与网络监控工具,支持实时事件检测功能,适用于设备、Windows主机与Linux/Unix服务器。提供搜索功能查找所需日志数据,允许自定义警报与故障记录。适合寻求经济日志管理解决方案的小型企业。
8、Datadog-记录并搜索来自各种设备与应用程序的日志数据,通过图形展示日志数据变化,通过过滤器确定所需信息。采用“集中存储”方法防止日志泄露。提供14天免费试用。
9、EventTracker-收集与分析Windows事件、Syslog与W3C/IIS日志文件,实时检测安全事件,提供多种警报功能。适用于需要高效日志管理的网络环境。
10、LogDNA-实时监控日志数据,支持基于云的可扩展日志管理解决方案,能够快速配置并从AWS、Heroku、Elastic、Docker等供应商收集日志,处理每秒一百万个日志事件。适用于需要基于云的日志管理方案的企业,免费版支持单个用户。
以上日志分析工具覆盖了从免费到付费的不同需求,无论是小型企业还是大型企业,都能找到适合自己的工具,以提升网络管理与维护的效率与效果。
如何搭建syslog日志服务器
首先我们知道日志是什么,日志毫无疑问就跟我们写日记一样记录我们每天做的一些事情,那么日志对于一台服务器而言是至关重要的,比如说我们搭建服务的时候,服务起不来也没提示错误信息,那么这个时候就可以查看日志来排错了,还记录了服务器的运行情况已经入侵记录等等...,那么我们知道一台服务器的日志默认是存放在本地的对于linux而言日志一般存放于/var/log/目录下,比如说某系统管理员管理着几十甚至上百台服务器的时候,默认日志放在每台服务器的本地,当我们每天要去看日志的时候一台一台的看日志是不是要郁闷死了.没关系在linux系统上提供了一个syslogd这样的一个服务为我们提供日志服务器,他可以将多台主机和网络设备等等的日志存到日志服务器上,这样就大大减少了管理员的工作量,下面将在一台默认装有rhel5.x的系统上搭建一台日志服务器.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
系统环境:默认安装有rhel5.8的系统
主机角色 IP地址
server1日志服务器 10.0.0.1
server2 10.0.0.2
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
实际上日志服务器的配置非常之简单几条命令就搞定了
一.配置日志服务器为网络中其他主机及其网络设备等等提供日志存储服务,也就是配置server1
1.在server1上编辑/etc/sysconfig/syslog文件修改如下
#vim/etc/sysconfig/syslog##只修改SYSLOGD_OPTINOS这项,如下
SYSLOGD_OPTIONS="-m 0-r"
2.重新启动syslog
#service syslog restart
3.配置防火墙,syslog传送日志的端口是UDP的514端口防火墙在默认的情况下是阻止所有的,这里就直接把防火墙关闭了,防火墙的配置就不介绍了
#service iptables stop
#chkconfig iptables off
ok!到这里服务器的配置基本就结束了.
二.配置server2让其将日志发送到日志服务器上去,我们知道windows跟交换机路由器都是有日志产生的,它们的日志也是可以存储到日志服务器上去的,这里就只介绍linux主机的
1.配置server2上的/etc/syslog.conf定义日志的类型以及日志的级别和日志存放的位置,这里就只简单的介绍下大体的配置思路,
#vim/etc/syslog.conf
*.*@10.0.0.1
上面的配置表示所有的日志类型.所有的日志的级别的日志都将存放在10.0.0.1这台日志服务器上
2,重启syslog
#service syslog restart
三.验证
1.在server2上建一个redhat的用户,然后到server1上的/var/log/secure文件或者/var/log/messages文件查看日志
#cat/var/log/secure
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash
可以看到10.0.0.2这台主机new了一个redhat的用户
