我正在寻找一种可以安全地将所有 Windows 和 Linux 日志集中到一个位置的方法。由于我处于混合环境中,既有 Linux 也有 Windows,因此我开始在 Linux 机器上使用 Syslog-ng,在 Windows 机器上使用 Snare,所有这些都指向 Linux 上的 syslog-ng。
在试用该系统时,我意识到任何网络故障都会导致 Windows 事件丢失(Snare 仅使用 udp 和 syslog),因此我尝试了 WinAgents,结果相同
我尝试切换到 Kiwi Syslog 服务器,并在 WinAgents 上尝试了 Syslog 和 SNMP 协议,结果相同。
由于 Kiwi 和 Syslog-ng 都可以监听 TCP 端口,因此应该有一些使用 tcp 的 Windows syslog 客户端,对吗?有人有使用此类客户端的经验吗?
非常感谢
编辑:我一直在尝试 Centreon E2S,它支持 UDP 和 TCP,但在发生网络故障时似乎不会重新发送消息
答案1
你需要支付一些现金,但 syslog-ng 的“高级版”有一个 Windows 代理(看这里)
答案2
看一眼日志,它也支持 TCP 和 SSL。它是开源的,适用于 Linux 和 Windows。
答案3
我没用过,但它看起来像Adiscon 活动记者应用程序将会完成您所寻找的事情。
答案4
- 设置 kiwi 使用 Http 转发到本地主机上的某个端口
- 设置 stunnel 来监听该端口并转发到你的 syslog 服务器
stunnel 配置如下:
[Syslogs]
client = yes
accept = 127.0.0.1:1234
connect = 1.2.3.4:5678
其中 1.2.3.4:5678 是您的 syslog 服务器的 ip:port(并且 kiwi 将转发到 localhost:1234)。
仍在寻找适用于 Windows 的 Kiwi/SolarWindsLogForwarder 的替代品...它必须发送 Http 而不是 UDP 才能与 stunnel 正确协同工作。