為了將windows的事件檢視器裡的記錄記到 linux 的 rsyslog

我找了兩套我覺得我想、會用的

1. eventlog-to-syslog (evtsys): http://code.google.com/p/eventlog-to-syslog/

2. winlogd : http://edoceo.com/creo/winlogd

官網提供的winlogd輸出至syslog會亂碼
這裡 http://note.tcc.edu.tw/234.html 有中文化程式可用(測試過不會亂碼)

設定 winlogd–

(需要 Microsoft .NET Runtime 1.1元件)

將 winlogd.exe 放至 %systemroot%system32

執行

%systemroot%system32winlogd -i

它將會註冊 regedit 及 service control manager

再到註冊碼修改 syslog server的 IP位置

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinlogdParameters]
  "Facility"="local3"         /* Facility to send logs as */
  "Port"=dword:00000202       /* The UDP port to send to, 514 being the syslog default */
  "Server"="192.168.42.7"     /* 改這裡 */

接著就可啟用它 (或到服務裡去啟用)

net start winlogd

要移除的話

net stop winlogd
%systemroot%system32winlogd -u

設定evtsys —

依需求抓取  Evtsys_4.4.1_64-Bit.zip 或 Evtsys_4.4.1_32-Bit.zip

解開後,將 evtsys.dll 及 evtsys.exe 放至 %systemroot%system32

安裝

%systemroot%system32evtsys -i -h 192.168.42.7

啟動

net start evtsys

移除的話

net stop evtsys
%systemroot%system32evtsys -u

設定本機群組原則

事件檢視器裡的記錄除了預設的事件外,可以

gpedit.msc > 電腦設定 > windows 設定 > 安全性設定 > 稽核原則

再額外啟用你要記錄的項目

使原則即時生效

gpupdate
最後修改日期: 2011 年 03 月 29 日

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。