认地,kiwi使用UDP 514端口接收日志数据,安装成功后即可接收日志
使用命令netstat –ano查看服务器监听状态,如果服务没起来,则重新启动服务Kiwi Syslog Daemon
任务:把当天的日志保存在G:event,历史日志保存在G:eventold,自动删除1一个月前的日志记录
第一步:新建规则CiscoRouter
1.新建Filters IP:收集来自192.168.0.1的日志
2.新建Action Display01:收集的数据显示在软件的第一个屏幕(00-09)
3.新建Action Log to file:设置日志保存路径G:event
如果启用Enable Log File Rotaion,设置Maximum log file 1 Day(s)则每天保存一个当天的日志,并且命名格式为Cisco.txt.001,Cisco.txt.002,如此类推保存每天的日志
这里我们不进行设置
第二步:设置保存每天日志、删除1个月前旧日志的计划安排
1.新建计划Save File,频率设置为每天一次,其他默认
设置备份日志的源路径G:event
Destination
每天将源路径文件移动到目标文件夹G:eventold,并且新建以当天日期命名的文件夹,这样源路径就只保存有当天的日志
Archive Options
可以把移动的文件进行压缩设置,或者触发一个程序的运行,这里我们不设置
Archive Notifications
如果软件email选项设置了邮件帐号,还可以通过该设置,把每天的报告发给指定的邮箱
2.新建计划Clean Up
Source需要删除一个月前的日志文件G:eventold
Cisco Logging配置
logging on
logging host 192.168.0.x
logging facility local7 将记录事件类型定义为local7
logging trap warning 将记录事件严重级别定义为从warningl开始,一直到最紧急级别的事件全部记录到前边指定的syslog server.
logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址
service timestamps log datetime 发送记录事件的时候包含时间标记
到此配置完毕
Window Logging 配置
解压后是两个文件evtsys.dll和evtsys.exe ,把这两个文件拷贝到 c:windowssystem32目录下。(64位系统(c:windowsSysWOW64)
打开Windows命令提示符(开始->运行 输入CMD)
C:>evtsys –i –h 192.168.0.2
-i 表示安装成系统服务 -h 指定log服务器的IP地址
打开windows组策略编辑器 (开始->运行 输入 gpedit.msc),在windows设置-> 安全设置 -> 本地策略->审核策略中,打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生,然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。
卸载:1. net stop evtsys 2. evtsys –u
