集中监控Windows事件日志

平时工做中，都会在每台终端上配置审核策略后，这样一旦发生问题，

就能够经过终端上的事件查看器，能够掌握终端上发生的不少操做行为，

对于定位问题和分析问题缘由颇有帮助。

 

但是这有一个问题，终端数目不少，并且都在用户的使用中，并不方便

到具体终端上检查问题，这样就须要相似于交换机和路由器等网络设备

同样，经过syslog将日志发送到网络上的日志服务器上，维护人员就能

够很方便的在本身的终端上登陆日志服务器工做，而不须要到用户终端

上查看，对提升工做效率很是有用。

 

怎么实现呢？很简单，就几步。

 

1. 首先从网上下载所须要的软件，

 

evtsys 几十kb的小软件，能够将windows事件转化为syslog消息，发送出来。

一个syslog服务器，若是已经建了，就不须要在安装了。

 

2.安装evtsys

evtsys使用命令行方式安装为windows的一个服务

将evtsys 的可执行程序和动态库都拷贝到windows的system32目录下，而后执行

命令

evtsys –i –h syslog服务器的地址

默认使用udp 514端口

若是为提升安全性，须要更改，在命令行后面再跟上-p 自定义的端口

 

3.在服务中，启动eventlog to syslog服务。

 

4.在syslog服务器上，就收到来自终端的windows事件了

 

可是不忙，咱们发现中文都显示成了乱码，怎么办？

 

对于一些比较好的syslog服务器，提供了配置文字编码的选项

以kiwi syslog server为例，在setup配置中，将udp协议输入的文字编码修改成

utf-8，乱码就没有了，显示正常的中文。

 

但一些相对比较简单的syslog服务器，例如SyslogGather，我并无找到配置的

位置，没能解决乱码的问题。