Windows 下日志保存至Linux rsyslog日志服务器

一、 下载安装

通过https://www.rsyslog.com/windows-agent/windows-agent-download/下载客户端后，按照默认安装完成后即进行配置。

二、 服务器测试

点击Tools>Syslog Test Message，填写Syslog Server 服务器地址，Syslog Port端口(一般默认为UDP协议),然后点击Send往日志服务器发送一条验证消息，如果服务器能收到表示通信正常可以收发日志。

 

三、 客户端配置

3.1 转发服务设置

进入Rule>Default RuleSet>ForwardRsyslog>Actions>Rsyslog。其中Syslog Target Options 中配置好日志服务器地址

 

 Syslog Message Options 中配置好日志格式和编码

 

3.2 系统日志类型选择

进入Services>Event Log Monitor V2 >Event Channel选择需要发送到日志服务器的事件日志类型。一般登录信息之类的包含在Security中。

 

3.3 日志过滤

默认的日志包含了较多我们不需要的信息，会导致日志服务器的日志记录增长非常快，也干扰日志查找。通过Rule>Default RuleSet>ForwardRsyslog>Filters可以很好的进行过滤。

这一部分需要自行进行测试，一般通过message进行关键字过滤就可以达到很好的效果。完成这一步骤基本就完成全部配置了。

  

四、 日志服务器配置

这是我自己日志服务器的配置

[root@zht-app003 etc]# sed 's/^#.*//;/^$/d' rsyslog.conf
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$ModLoad imudp
$UDPServerRun 514
$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat 
$WorkDirectory /var/lib/rsyslog
$template RemoteLogs,"/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%/%PROGRAMNAME%.log"
:fromhost-ip, !isequal, "127.0.0.1" 
*.* ?RemoteLogs
& ~
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
*.* @172.19.100.214:514
kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log