Windows操作系統(tǒng)本身是可以產(chǎn)生很多日志的，如每次插拔U盤、服務(wù)的重啟等，都會(huì)產(chǎn)生日志，這些信息會(huì)記錄在操作系統(tǒng)中，如果我們想集中管理，怎么辦？Windows操作系統(tǒng)本身并不支持把日志發(fā)送到SYSLOG服務(wù)器去，但是我們就沒(méi)辦法了？

“專業(yè)、務(wù)實(shí)、高效、創(chuàng)新、把客戶的事當(dāng)成自己的事”是我們每一個(gè)人一直以來(lái)堅(jiān)持追求的企業(yè)文化。 成都創(chuàng)新互聯(lián)是您可以信賴的網(wǎng)站建設(shè)服務(wù)商、專業(yè)的互聯(lián)網(wǎng)服務(wù)提供商! 專注于網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)、軟件開發(fā)、設(shè)計(jì)服務(wù)業(yè)務(wù)。我們始終堅(jiān)持以客戶需求為導(dǎo)向，結(jié)合用戶體驗(yàn)與視覺傳達(dá)，提供有針對(duì)性的項(xiàng)目解決方案，提供專業(yè)性的建議，創(chuàng)新互聯(lián)建站將不斷地超越自我，追逐市場(chǎng)，引領(lǐng)市場(chǎng)！

我們采用evtsys收集windows日志?；舅悸肥鞘褂胑vtsys把windows日志轉(zhuǎn)換為syslog格式，然后發(fā)送到日志服務(wù)器

前提條件

1.確認(rèn)windows主機(jī)與日志服務(wù)器路由可達(dá)
2.確認(rèn)主機(jī)udp協(xié)議的514端口沒(méi)有被占用或屏蔽

安裝配置

1.將程序解壓，放在c:\Windows\System32目錄下，包含“evtsys.exe”和"evtsys.dll"

2.使用管理身份運(yùn)行cmd，敲入命令 evtsys.exe -i -h 172.31.101.12 -p 514,

參數(shù)說(shuō)明：
i是安裝成Window服務(wù)；
h是syslog服務(wù)器地址；
p是syslog服務(wù)器的接收端口。
默認(rèn)下，端口可以省略，默認(rèn)是514.

3.啟動(dòng)服務(wù)，net start evtsys

驗(yàn)證效果

在日志服務(wù)器上查看收集到日志

注意事項(xiàng)

因?yàn)閟yslog協(xié)議很簡(jiǎn)單，不能直接查詢到日志來(lái)源的詳細(xì)信息，所以需要對(duì)windows主機(jī)的主機(jī)名做統(tǒng)一規(guī)劃，免得重名或查詢不到對(duì)應(yīng)主機(jī)