로그 포워딩 설정

1. eventlog-to-syslog 설치

http://code.google.com/p/eventlog-to-syslog/ 에 zip파일을 받아온다.
그중에서 evtsys.dll 과 evtsys.exe를 c:\windows\system32 에 복사하면 끝난다.

2. 서비스에 등록하기

evtsys -i 옵션으로 서비스에 등록한다. 이 때 로그를 받을 syslog 리눅스 서버 IP와 포트를 함께 지정한다. 기본 포트는 514번이다.

C:\Windows\System32>evtsys -i -h <리눅스 syslog서버의 IP> -p <syslog 포트>

※ 서비스에서 없앨 때는 -u 옵션을 사용하면 된다.

'서비스'에서 등록 확인하고, start한다.

클라이언트 레지수정

HKLM\SOFTWARE\ECN\EvtSys\3.0\Facility -> 21 으로 수정   # local 5

6. Specifying Facility The Syslog protocol specifies 24 facilities:   0 kernel messages   1 user-level messages   2 mail system   3 system daemons   4 security/authorization messages   5 messages generated internally by syslogd   6 line printer subsystem   7 network news subsystem   8 UUCP subsystem   9 clock daemon 10 security/authorization messages 11 FTP daemon 12 NTP subsystem 13 log audit 14 log alert 15 clock daemon 16 local use 0 (local0) 17 local use 1 (local1) 18 local use 2 (local2) 19 local use 3 (local3) 20 local use 4 (local4) 21 local use 5 (local5) 22 local use 6 (local6) 23 local use 7 (local7)

서버

/etc/rsyslog.conf

*.info;local5.none;mail.none;authpriv.none;cron.none /var/log/messages   # 중복으로 쌓이는 것을 방지  $template RemoteLogs,"/var/log/win/%PROGRAMNAME%.log" local5.* ?RemoteLogs & ~

다음과 같이하면 gray log 로 보낼수도 있다

$template RemoteLogs,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n" local5.* @rlog.333:5140;RemoteLogs

근데 보통은 graylog 와 nxlog 를 많이 쓰는데

이미 위와 같은 환경을 쓰고 있는 경우에도 연동이 가능하니 참고하면 좋겠다

출처 : http://coffeenix.net/board_view.php?cata_code=137&bd_code=1741&bpage=

참고사이트 : https://chonnom.com/bbs/board.php?bo_table=B20&wr_id=155