為了將windows的事件檢視器裡的記錄記到 linux 的 rsyslog
我找了兩套我覺得我想、會用的
1. eventlog-to-syslog (evtsys): http://code.google.com/p/eventlog-to-syslog/
2. winlogd : http://edoceo.com/creo/winlogd
官網提供的winlogd輸出至syslog會亂碼
這裡 http://note.tcc.edu.tw/234.html 有中文化程式可用(測試過不會亂碼)
設定 winlogd–
(需要 Microsoft .NET Runtime 1.1元件)
將 winlogd.exe 放至 %systemroot%system32
執行
%systemroot%system32winlogd -i
它將會註冊 regedit 及 service control manager
再到註冊碼修改 syslog server的 IP位置
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswinlogdParameters]
“Facility”=”local3” /* Facility to send logs as */
“Port”=dword:00000202 /* The UDP port to send to, 514 being the syslog default */
“Server”=”192.168.42.7” /* 改這裡 */
接著就可啟用它 (或到服務裡去啟用)
net start winlogd
要移除的話
net stop winlogd
%systemroot%system32winlogd -u
設定evtsys —
依需求抓取 Evtsys_4.4.1_64-Bit.zip 或 Evtsys_4.4.1_32-Bit.zip
解開後,將 evtsys.dll 及 evtsys.exe 放至 %systemroot%system32
安裝
%systemroot%system32evtsys -i -h 192.168.42.7
啟動
net start evtsys
移除的話
net stop evtsys
%systemroot%system32evtsys -u
設定本機群組原則
事件檢視器裡的記錄除了預設的事件外,可以
gpedit.msc > 電腦設定 > windows 設定 > 安全性設定 > 稽核原則
再額外啟用你要記錄的項目
使原則即時生效
gpupdate
留言