什么是 Syslog 服务器？

Syslog 服务器是一个中央日志收集系统，网络中的各种设备（如路由器、交换机、防火墙、Linux 服务器，甚至是其他 Windows 服务器）都可以将自己的系统日志、应用程序日志、错误信息等发送到这个中央服务器进行统一存储和管理。

这样做的好处非常明显：

• 集中管理：无需登录到每台设备去查看日志，在一个地方就能掌握全局。
• 故障排查：当问题发生时，可以快速关联不同设备在同一时间点的日志，定位问题根源。
• 安全审计：记录所有设备的登录尝试、错误操作和安全事件，便于事后追溯。
• 合规性要求：很多行业法规（如 PCI DSS, HIPAA）都要求对日志进行集中存储和审计。

在 Windows 上搭建 Syslog 服务器的三种主要方法

Windows 原生并不像 Linux 那样自带一个简单的 syslog 守护进程，我们需要借助第三方软件来实现，以下是三种最主流的方法，各有优劣：

使用 Kiwi Syslog Server (功能强大，免费版可用)

这是最流行、最专业的 Windows Syslog 服务器解决方案之一，非常适合企业环境。

优点：

• 功能非常全面,规则、警报、报告、数据库存储等一应俱全。
• 界面友好,易于配置和使用。
• 免费版功能已经足够满足中小规模的需求。

缺点：

• 免费版有设备数量限制（通常是5个）。
• 高级功能需要付费。

安装与配置步骤：

1. 下载安装：

   • 访问 Kiwi Syslog Server 官网。
   • 下载并安装免费版（Kiwi Syslog Server Free Edition）。

2. 启动服务：

   
   （图片来源网络，侵删）
   • 安装完成后,软件会自动启动，在 Windows 系统托盘区（右下角）找到 Kiwi 的图标，右键点击，选择 Start/Stop/Restart -> Start。

3. 基本配置：

   • 双击托盘图标打开主控制台。
   • 默认情况下,它会监听 UDP 514 端口接收日志，这是 Syslog 的标准端口。
   • 你可以在主界面看到实时接收到的日志信息。

4. 配置日志存储位置：

   • 在左侧导航栏中,找到 Syslog Setups -> Syslog Message Formats。
   • 选择一种你设备支持的格式（RFC 3195 或 Syslog Standard 即可）。
   • 在左侧导航栏中,找到 Syslog Setups -> Syslog Destinations。
   • 右键点击 File -> Properties。
   • 在这里你可以设置日志文件的保存路径、命名规则（例如按日期、按来源主机等），建议勾选 Rotate log files 来管理日志文件大小。

5. 高级功能（可选）：

   • 过滤：可以设置规则，只接收特定来源 IP、特定严重级别（如 Error, Critical）的日志。
   • 警报：可以设置当收到特定条件的日志时，通过邮件、弹出窗口等方式发出警报。
   • 数据库：可以将日志直接存入 SQL Server, MySQL 等数据库，便于长期查询和分析。

使用 Windows 事件日志转发器 (免费，集成度高)

如果你的主要目的是收集其他 Windows 设备的日志，并且不想安装第三方软件，可以使用 Windows 自带的“事件日志转发器”（Event Forwarding）功能，它基于 Windows 事件收集服务。

优点：

• 完全免费,与 Windows 深度集成。
• 无需额外安装软件。
• 可以非常方便地收集其他 Windows 主机的日志。

缺点：

• 无法直接接收标准的 Syslog 消息，它只能收集 Windows 事件日志，如果需要收集 Linux、路由器等设备的 Syslog，此方法不适用。

配置步骤（在作为服务器的 Windows 机器上操作）：

1. 启用 Windows Event Log 服务：

   • 按 Win + R，输入 services.msc 并回车。
   • 找到 Windows Event Log 服务，确保其状态为“正在运行”，启动类型为“自动”。

2. 配置事件订阅：

   • 按 Win + R，输入 eventvwr.msc 并回车打开“事件查看器”。
   • 在左侧窗格中,右键点击 事件订阅，选择 订阅...。
   • 在弹向导中,给你的订阅起个名字（如 "Collect All Logs"）。
   • 在“订阅类型”中选择“收集器 initiated”（推荐，更安全）。
   • 在“计算机”页面，点击“添加...”，输入你想要收集日志的客户端 Windows 计算机名或 IP 地址。
   • 在“事件级别”页面，选择你希望收集的事件级别（如“错误”、“警告”、“信息”）。
   • 在“选择日志”页面，勾选你需要收集的日志，如 Windows 日志 -> 系统、应用程序、安全。
   • 在“选择目标”页面，选择“将保存到现有日志”，然后选择一个本地的事件日志（如 ForwardedEvents 日志）。
   • 完成向导。

注意：此方法需要在客户端计算机上也进行一些配置（通常是组策略），以允许服务器拉取其日志，这通常在企业域环境中通过组策略统一部署，对于独立主机配置稍显复杂。

使用 syslog-ng (开源免费，高性能)

syslog-ng 是一个功能极其强大的开源日志管理工具，在 Linux 世界中非常流行，也有 Windows 版本。

优点：

• 开源免费,没有设备数量限制。
• 性能极高,可扩展性强。
• 支持复杂的日志过滤、路由和转换规则。
• 可以将日志发送到文件、数据库、甚至另一个 syslog-ng 服务器。

缺点：

• 配置相对复杂,需要编辑配置文件，不适合初学者。

安装与配置步骤：

1. 下载安装：

   • 访问 syslog-ng 官网。
   • 下载 Windows 版本的安装包并安装。

2. 配置文件：

   • 安装后,主要的配置文件是 C:\Program Files (x86)\syslog-ng\etc\syslog-ng.conf。
   • 你可以用任何文本编辑器（如 Notepad++）打开它进行编辑。

3. 基本配置示例：

   • 配置文件通常由三部分组成：来源、过滤器、目标。
   • 来源：定义日志从哪里来，要接收网络上的 Syslog 消息，你需要启用 UDP 或 TCP 监听器。

     # 在 source s_all 部分添加或修改
     source s_network {
         udp(ip(0.0.0.0) port(514)); # 监听所有网卡的514端口
         # tcp(ip(0.0.0.0) port(601)); # 如果需要TCP，取消这行注释
     };

   • 过滤器：定义接收哪些日志，可以按严重级别、来源主机等过滤。

     # 过滤出 Error 和 Critical 级别的日志
     filter f_error { level(err, crit); };

   • 目标：定义日志存到哪里，比如存入文件。

     # 将日志存入 C:\logs\syslog.log 文件
     destination d_file {
         file("C:/logs/syslog.log" owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes));
     };

   • 日志路径：将来源、过滤器和目标连接起来。

     # 将网络来源中所有级别为 Error 的日志存入文件
     log { source(s_network); filter(f_error); destination(d_file); };

4. 应用配置：

   • 保存配置文件后,打开“服务”（services.msc）。
   • 找到 syslog-ng Service，右键点击 重新启动，使新配置生效。

如何让其他设备向 Windows Syslog 服务器发送日志？

假设你已经成功在 Windows 服务器上安装了 Kiwi Syslog Server，现在要让一台 Linux 服务器或路由器向它发送日志。

通用步骤（以 Linux 服务器为例）：

1. 编辑 Syslog 配置文件：
   • 对于使用 rsyslog 的系统（如 Ubuntu, CentOS 7+），编辑 /etc/rsyslog.conf 文件。