随着信息技术的高速发展,网络中的设备越来越多的,渐渐的我们发现依赖传统手段去一台台分析设备(路由器、交换机、防火墙、服务器、数据库、中间件等)的日志已经严重影响了我们的工作效率,并无法对业务系统的可用性提供保障。总是在问题出现之后才充当救火员的角色。所以,是时候对运维日志进行集中管理了。
如第一段文字所说,运维日志有很多种,今天我们先说如何进行Windows日志的发送,毕竟这个毕竟容易下手……游侠会在近期撰写服务端的一些文字。
Windows操作系统本身是可以产生很多日志的,如每次插拔U盘、服务的重启等,都会产生日志,这些信息会记录在操作系统中,但Windows不像交换机、Linux那样自带syslog,而Windows系统自身的日志又不支持转发,所以要想收集Windows日志,必须安装Agent。用其将Windows的系统日志、安全日志、应用日志等转换为syslog然后转发给我们的服务器端。
OK,现在我们说几款常见的Windows日志转SYSLOG工具,游侠选择了开源或免费的工具,所以……放心的用吧!
1.evtsys
1.1.说明
Evtsys是用C写的程序,提供发送Windows日志到syslog服务器的一种方式。它支持Windows Vista和Server 2008,支持32和64位环境。evtsys被设计用于高负载的服务器,Evtsys快速、轻量、高效率。并可以作为Windows服务存在。
1.2.下载
http://code.google.com/p/eventlog-to-syslog/downloads/list
1.3.配置
Evtsys的安装本来是要拷贝文件、cmd输入命令的,但是还是比较麻烦,游侠这里用批处理解决!Evtsys有两个版本,安装目录不同,这里分开说明:
1.3.1. 32位系统evtsys安装
copy evtsys.exe c:windowssystem32
copy evtsys.dll c:windowssystem32
cd c:windowssystem32
evtsys.exe -i -h 192.168.1.41 -p 514
net start evtsys
1.3.2. 64位系统evtsys安装
copy evtsys.exe c:windowsSysWOW64
copy evtsys.dll c:windowsSysWOW64
cd c:windowsSysWOW64
evtsys.exe -i -h 192.168.1.41 -p 514
net start evtsys
我们可以看到32位系统下是把文件复制到c:windowssystem32目录,而在64位系统下是复制到c:windowsSysWOW64目录。中间的192.168.1.41是syslog服务器的IP地址,这个要根据实际需求调整,否则收不到的哦!514是端口号,也一定别写错!
当然,evtsys还有一些高级用法,如过滤日志等,请阅读其自带的说明。
