关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


使用Kiwi Syslog 搭建集中管理的日志服务器

2011-11-03 16:27 推荐: 浏览: 129字号:

摘要: 演示环境: Windows 2003 Server(服务器端),Windows Xp(客户端) Kiwi Syslog 9.2(30天试用版),Evtsys 4.4.0(evetlog to syslog) Kiwi Syslog 9.2 可到官方(http:...

演示环境:

Windows 2003 Server(服务器端),Windows Xp(客户端)

Kiwi Syslog 9.2(30天试用版),Evtsys 4.4.0(evetlog to syslog)

Kiwi Syslog 9.2 可到官方(http://www.kiwisyslog.com/)下载免费受限版本和注册版本


我这里提供 Kiwi Syslog8.3.7破解版的下载地址:http://dl.dbank.com/c0e2703bog

安装过程

1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe,弹出安装界面,点击“I agree”

使用Kiwi Syslog 搭建集中管理的日志服务器

2、选择安装模式为“Install Kiwi Syslog Server as a service”,两者的区别是,前者可以在关闭软件主界面后仍然能记录日志,后者只能瞬时记录日志

使用Kiwi Syslog 搭建集中管理的日志服务器

3、选择安装的用户,本地系统账户还是一个管理员的账户

使用Kiwi Syslog 搭建集中管理的日志服务器

4、勾选“Install Kiwi Syslog Web Access”(可以不勾选),因为他提示了此功能只限注册用户使用、

使用Kiwi Syslog 搭建集中管理的日志服务器

5、选择安装的组件

使用Kiwi Syslog 搭建集中管理的日志服务器

6、选择安装的路径

使用Kiwi Syslog 搭建集中管理的日志服务器

7、若第四步中没有勾选安装Kiwi Syslog Web Access,则会提示安装成功,若勾选了,则会提示安装Kiwi Syslog Web Access必备组件的向导,安装过程会自动下载并安装这些组件、

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

8、之后就会弹出Kiwi Syslog Web Access的安装向导过程,也比较简单。

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

使用Kiwi Syslog 搭建集中管理的日志服务器

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe,安装也比较简单,这里不详细介绍。

配置过程

Kiwi Syslog Server的各种详细配置主要在file-setup里面。我们主要介绍2个方面的配置

1、log文件的存放路径,点击Rules-Actions-Log to file,这里我们就可以设置存放的位置以及存放的格式

使用Kiwi Syslog 搭建集中管理的日志服务器

2、配置计划任务,点击Rules-Shedules-Add new schedule

Schedule字段 添加日志计划频率(按小时算、每6个小时记录一次,一天记录4次)

使用Kiwi Syslog 搭建集中管理的日志服务器

Source字段(设置临时存储日志的路径)

使用Kiwi Syslog 搭建集中管理的日志服务器

Destination字段(设置最终日志存储目录)

使用Kiwi Syslog 搭建集中管理的日志服务器

实例测试

Windows环境(亲测)

 

把这两个文件拷贝到 c:\windows\system32目录下。

打开Windows命令提示符(开始->运行 输入CMD)

C:\>evtsys –i –h 192.168.10.100

-i 表示安装成系统服务

-h 指定log服务器的IP地址

如果要卸载evtsys,则:

net stop evtsys

evtsys -u

启动该服务:

C:\>net start evtsys

打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)

在windows设置-> 安全设置 -> 本地策略 ->审核策略 中,打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。

使用Kiwi Syslog 搭建集中管理的日志服务器

但是我们发现了个问题,日志的内容竟然变成了乱码。我们需要做出一个修改  ,在setup里设置UDP里的字符格式为UTF-8

使用Kiwi Syslog 搭建集中管理的日志服务器

(2) netscreen防火墙日志配置实例

1 用户登陆web界面

2 选择Configuration->;Report Settings->;Syslog

3 点击’Enable Syslog messages’

4 输入日志服务器的地址和端口(udp端口514)

使用Kiwi Syslog 搭建集中管理的日志服务器

(3)华为3952P-2,设置如下:

Quidway3952(config)# logging on //开启日志系统

Quidway3952(config)# info-center loghost 192.168.X.X //日志服务器的IP地址

(4)思科交换机3750,设置如下:

SW3750 (config)#logging on

SW3750(config)#logging 192.168.X.X  //日志服务器的IP地址

联系站长租广告位!

中国首席信息安全官
Copy link