使用Evtsys和Nxlog搭建syslog日志服务器

最近一直在学习公司的产品，昨天看到有关syslog的相关功能。自己也在测试的机器上测试下。

说明下Evtsys和nxlog都是把windows下的日志信息转化为sysylog。通过这篇文章我们把Evtsys和nxlog这款软件一起玩转下。

Evtsys这个软件很小的才几百KB，我们可以在http://code.google.com/p/eventlog-to-syslog/，下载到最新版本的程序。该程序有32和64bit之分，所以在下载时，请选择自己所需要的对应版本。

下载完毕解压后，我们只需把evtsys.exe、evtsys.dll，这两个问题复制到Windows\system32目录下。

然后我们在CMD模式下，执行如下命令即可。

evtsys.exe -i -h 192.168.1.101 -p 514

这个是标准格式，亦可精简为：evtsys -i -h 192.168.75.129

参数说明：

i是安装成Window服务；h是syslog服务器地址；p是syslog服务器的接收端口。默认下，端口可以省略，默认是514。

Evtsys安装完毕后，我们就来启动Evtsys服务，命令是：net start evtsys。此时查看Windows的“服务”，发现服务下面增加了一个“Eventlog to Syslog”，并且已经启动。如下图：

Evtsys安装完毕后，我们就可以进行相关的实验了。我们现在syslog的服务器A（主机名XP-201308302208）是IP192.168.75.129，也就是刚刚我们安装evtsys所填写的服务器地址。然后我们使用另外一款软件SyslogWatcher来接收Evtsys所发送的相关日志信息。所有这些软件的下载地址，我会在文章末尾附上的下载地址。

启动SyslogWatcher看看实际的效果。

我们以本机的一个服务UPUPW_Nginx为例，我们现在重启该服务。

可以看到SyslogWatcher已经捕获了Evtsys发送过来的syslog日志信息。

这个是我们在本机测试的，那么我们现在看看如何捕获另外一台机器B（主机名USER-ELV81G3BJ0）上的syslog日志。

Nxlog可以在http://sourceforge.net/projects/nxlog-ce/files/下载。这款软件无论是在32还是64bit系统上，都可以安装的。

Nxlog安装完毕后，如下图：

现在我们来配置nxlog，打开nxlog安装目录下的conf文件夹找到nxlog.conf，如下图：

Nxlog.Conf文件的内容如下：

## This is a sample configuration file. See the nxlog reference manual about the

## configuration options. It should be installed locally and is also available

## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html

## Please set the ROOT to the folder your nxlog was installed into,

## otherwise it will not start.

#define ROOT C:\Program Files\nxlog

define ROOT C:\Program Files (x86)\nxlog

Moduledir %ROOT%\modules

CacheDir %ROOT%\data

Pidfile %ROOT%\data\nxlog.pid

SpoolDir %ROOT%\data

LogFile %ROOT%\data\nxlog.log

<Input in>

Module im_msvistalog

# For windows 2003 and earlier use the following:

# Module im_mseventlog

</Input>

<Output out>

Module om_tcp

Host 192.168.75.129

Port 514

</Output>

<Route 1>

Path in => out

</Route>

如果你安装的目录和实际的目录有出入的话，我们可以通过：

define ROOT C:\Program Files (x86)\nxlog

这条语句来定义。这个我就不解释了，一看你就知道的。接下来我们是需要修改的是nxlog要把syslog发送到的syslog服务器地址及所使用的协议。

<Output out>

Module om_udp

Host 192.168.75.129

Port 514

</Output>

我们只需把上面这条语句替换即可。配置文件修改完毕后，我们就来启动nxlog。

现在我们再次看看syslog服务器192.168.75.129上的SyslogWatcher上会不会接收到有关B机器的相关syslog信息？

我们通过上图可以很明显的看到，syslog服务器已经接收到了B机器发送过来的syslog日志。

到此我们的实验也就结束了。

Evtsys下载地址：

http://pan.baidu.com/share/link?shareid=3338984035&uk=3104283265

Nxlog下载地址：

http://pan.baidu.com/share/link?shareid=3337006865&uk=3104283265

SyslogWatcher下载地址：

http://pan.baidu.com/share/link?shareid=3330843469&uk=3104283265

其他syslog工具下载地址：

http://pan.baidu.com/share/link?shareid=3335026364&uk=3104283265