要将一个Windows客户端的日志消息转发到我们的rsyslog服务器,需要一个安装 Windows syslog 代理。
1.SyslogAgent
http://download.cnet.com/Datagram-SyslogAgent/3000-2085_4-10370938.html
2.安装SyslogAgent
这里省略安装步骤
3.相应的设置
需要将其配置为作为服务运行,连接install,点
Rsyslog 服务器如何配置,请查看
http://yuanji6699.blog.51cto.com/11568362/1775019
击后配置rsyslog服务器ip,端口
配置要监控的日志类型 event logs
4.点击 start Service
之后在服务器192.1368.10.222 查看/var/log/message
可以看到日志已经传送过来
May 19 12:52:30 YUANJImicrosoft-windows-security-auditing[success] 5158
May 19 12:53:33 YUANJImicrosoft-windows-security-auditing[success] 5156 Windows
【有个问题没有解决】
Window传送过来的是乱码,不知道怎么解决,有知道高手可以指点一下。
May 19 12:44:30 YUANJI microsoft-windows-security-auditing[success]5156 Windows #015#177#015#177:#015#177#011ID:#011#0114192#015#177#011015#177\devi
ce\harddiskvolume1\windows\system32\svchost.exe#015#177#015#177:#015#177#011:#011#011%14592#015#177#011:#011#011239.255.255.250#015#177#011:#011#0111900#015#177#011:#
011192.168.8.52#015#177#011011#01162086#015#177#011Э011#01117#015#177#015#177:#015#177#011ID:#0110#015#177#011011#011%14610#015#177#011 ID:#01144
May 19 12:44:30 YUANJImicrosoft-windows-security-auditing[success] 5156 Windows #015#177#015#177:#015#177#011ID:#011#0114#015#177#011011System#015#1
77#015#177:#015#177#011:#011#011%14593#015#177#011:#011#011192.168.8.23#015#177#011:#011#0118#015#177#011:#011119.145.220.85#015#177#011011#0110#015#177#011Э:#011#0111#015#177#015#177:#015#177#011ID:#0110#015#177#011011#011%14611#015#177#011 ID:#01148