我尝试使用系统日志为了抢夺我的网络计算机安全日志并将它们发送到日志服务(洛格利在这种情况下)。
我可以在 Windows 7 Professional 计算机上安装并运行 NTSysLog
来自 Loggly 我只获得了与 Unix 相关的设置帮助,他们指定:
:: Syslog ::
For UDP, put this in /etc/syslog.conf:
*.* @logs.loggly.com:46031
To restart:
/etc/init.d/syslogd restart
:: rsyslog ::
For UDP, put this in rsyslog.conf:
*.* @logs.loggly.com:46031
由此,如何设置 Windows 机器正确地,而不需要设置一台 Linux 机器作为 SysLog 服务器,然后我就可以向日志服务发送消息?
设置主 Syslog 守护进程如上图所示,没有记录它。
答案1
所以您试图通过互联网将未加密的安全日志发送给第三方服务?
你确定要这么做吗?从安全角度来看,这简直是愚蠢至极。
话虽如此,我想到 3 件事。(尽管我不熟悉 NTSyslog。)
- 似乎您假设 Windows 安全日志与安全类型的 Syslog 事件相同。Windows 日志与 Syslog 完全无关。除非 NTSyslog 可以在两者之间转换,否则您看不到任何事件是正常的。
- NTSyslog 是否允许使用非标准端口号 (:46031)?
- 你的防火墙是否允许发送 UDP 数据包?
答案2
看一眼日志。它可以安全地发送您的事件日志,支持 TLS/SSL 和 HTTPs。您还可以将日志格式化为 JSON,完全跳过 syslog 格式。我认为这些功能将有助于更好地与 loggly 集成。(免责声明:我与该项目有关联。)