快速指定并自动从工作站和服务器发送事件,从Windows服务器和工作站导出事件数据,并指定要按源,类型ID和关键字转发的事件。将事件转发到外部系统以警告,存储和审核活动。通过UDP或TCP将事件发送到多个服务器。
实现PCI DSS,SOX,HIPAA,FISMA等的日志保留要求。
使用帮助
配置设备以将系统日志消息发送到Kiwi Syslog服务器
要在Kiwi Syslog服务器中接收消息,请将每个设备配置为将消息发送到适当的端口。如果Kiwi Syslog服务器未收到消息,请参阅以下主题以获取常见配置示例和疑难解答提示。
一、配置Cisco Catalyst 2960交换机以将系统日志消息发送到Kiwi Syslog服务器
要从支持syslog的设备接收消息,请将设备配置为将syslog消息发送到安装了Kiwi Syslog Server的计算机上的指定端口。Kiwi Syslog服务器自动在端口514上侦听UPD消息。
您还可以使Kiwi Syslog Server侦听TCP消息,安全TCP消息和SNMP陷阱。
以下示例显示如何配置Cisco Catalyst 2960交换机。要配置其他类型的设备,请参阅设备制造商的说明。
必须在设备上启用消息日志记录。在生成系统日志消息的许多设备上,默认情况下启用日志记录。
在Cisco Catalyst 2960交换机上,打开Cisco命令行界面并开始会话。
验证您是否在交换机上处于特权执行模式。要进入Privileged EXEC模式,请键入以下命令:
enable
切换到全局配置模式。输入命令:
configure terminal
验证是否启用了日志记录。如果已禁用日志记录,请键入以下命令:
logging enable
配置交换机以将日志消息发送到Kiwi Syslog服务器。输入命令:
logging host
其中host是安装Kiwi Syslog服务器的设备的名称或IP地址。
根据优先级限制发送的消息。输入命令:
logging trap level
其中level是以下项之一,按优先级从高到低列出:
紧急情况
警报
危急
错误
警告
通知
信息性(默认级别)
调试
设备发送指定优先级及更高级别的消息。例如,该级别critical发送的消息的优先级为严重,警报和紧急情况。
返回特权执行模式。输入命令:
end
来自此设备的Syslog消息显示在Kiwi Syslog Service Manager控制台上,并根据您定义的规则进行处理。如果控制台未显示来自此设备或其他设备的消息,请对Kiwi Syslog Server进行故障排除。
二、对Kiwi Syslog服务器进行故障排除
如果已将设备配置为发送消息,但是Kiwi Syslog Server无法接收消息,请使用以下故障排除提示来解决问题。
发送测试消息到Kiwi Syslog服务器
测试消息可以帮助您确定将故障排除工作集中在哪里。
在Kiwi Syslog Service Manager控制台中,选择“文件”>“将测试消息发送到本地主机”。
如果未显示测试消息,请继续执行“ 如果Kiwi Syslog服务器未显示测试消息”。
如果消息被显示,请继续。如果猕猴桃Syslog服务器显示测试消息,但没有其他消息。
如果Kiwi Syslog Server不显示测试消息
1.验证Syslogd服务正在运行
在控制台中,选择管理>显示Syslogd服务状态。
控制台窗口的左下角显示以下状态之一:卸载,正在运行,已停止或无响应。
如果服务已停止或未响应,请选择“托管”>“启动Syslogd服务”。
2.验证Kiwi Syslog服务器已配置为在端口514上侦听UDP消息
从控制台中,选择“文件”>“设置”。
在“输入”下,单击“ UDP”。
确认已选择“侦听UPD”,并且端口为514
3.确认没有其他服务正在使用端口514
打开命令提示符并输入:
netstat -ano
显示活动端口的列表以及绑定到它们的进程的ID。
找到以514结尾的UDP端口,并记下相应的进程ID。
在以下示例中,进程ID为11344。
打开Windows任务管理器,然后单击“进程”选项卡。
在“ PID”列中,找到上一步中的进程ID。
与该PID关联的过程应为Syslogd_Service.exe。
如果与此PID关联的进程不同,请右键单击该进程,然后选择“结束任务”。
该端口现在可用于Kiwi Syslog服务器。
停止并重新启动Kiwi Syslog Server服务。
在Kiwi Syslog服务器管理器控制台中,选择管理>停止Syslogd服务。
选择管理>启动Syslogd服务。
4.验证是否启用了记录和显示消息的规则,并且选择了正确的显示
在“ Kiwi Syslog服务器设置”对话框中,确认选择了“默认”规则,并且选择了“显示”和“记录到文件”操作。
单击“显示”操作以查看详细信息,并记下“显示号”。
确认在Kiwi Syslog服务管理器控制台中选择了相同的显示编号。
如果Kiwi Syslog Server显示测试消息,但不显示其他消息
如果Kiwi Syslog Server显示测试消息,但不显示来自外部设备的消息,则可能是防火墙,连接性或配置问题。
1.使用免费的系统日志消息生成器Kiwi SyslogGen发送测试消息
转到www.kiwisyslog.com/downloads.aspx并下载Kiwi SyslogGen。
在安装了Kiwi Syslog服务器的设备上安装Kiwi SyslogGen。
输入设备的IP地址作为目标IP地址,然后发送测试消息。
如果来自本地设备的测试消息成功,请在配置的备用设备上安装Kiwi SyslogGen并发送测试消息。
如果您没有收到从备用设备发送的消息:
验证防火墙是否允许流量通过所选的端口和协议。
如果防火墙允许流量,请检查具有流量阻止功能的防病毒程序。
根据需要添加例外,然后重复测试。
如果您收到来自Kiwi SyslogGen的消息,请继续执行以下故障排除步骤。
2.验证与Kiwi Syslog服务器的设备网络连接
从发送设备上,对安装了Kiwi Syslog服务器的设备执行ping操作,以验证网络连接。
3.检查设备配置
有关配置设备的详细信息,请参阅设备供应商的文档。
验证设备是否支持syslog。
验证是否已启用消息日志记录。
验证设备已配置为将系统日志消息发送到Kiwi Syslog服务器。
验证协议和端口。
在配置更改生效之前,必须重启某些设备。
4.如果设备正在发送TCP消息或SNMP陷阱,请验证是否已将Kiwi Syslog服务器配置为在指定端口上侦听该协议。
从控制台中,选择“文件”>“设置”。
在“输入”下,单击设备使用的协议。
验证是否已选择“侦听”,并验证该协议的端口号和其他选项。
此外,通过遵循示例,但替换适当的端口号和协议,确认没有其他服务在使用所需的端口。
5.验证DNS解析是否按预期工作
在命令提示符下ping主机名,以验证DNS解析是否按预期工作。
6.如果设备的消息中没有优先级,请确认Kiwi Syslog Server允许无优先级的消息
在“ Kiwi Syslog服务器设置”对话框中,单击“修饰符”。
验证是否选择了“允许无优先级的消息”。
如果消息不包含优先级,则Kiwi Syslog服务器将使用默认优先级和功能。
如果问题没有解决,请进行其他故障排除
如果前面的疑难解答提示不能解决问题,请尝试以下操作。
1.检查Kiwi Syslog服务器errorlog.txt以获取信息
该文件位于安装目录中。默认位置是:C:\Program Files (x86)\Syslogd\errorlog.txt
如果错误日志显示Kiwi Syslog Server无法绑定到端口,请使用该端口停止服务并重新启动Kiwi Syslog Server。
2.重新启动安装了Kiwi Syslog服务器的计算机
3.清除“ KSS DNS解析”设置中的选项以解析IP地址
在“ Kiwi Syslog服务器设置”对话框中,单击“ DNS解析”。
清除这两个选项可解析IP地址。
4.清除“ KSS电子邮件”设置中的选项,以发送警报消息和统计信息
在“ Kiwi Syslog服务器设置”对话框中,单击“电子邮件”。
清除发送系统日志警报消息和发送系统日志统计信息。
5.将Kiwi Syslog服务器重置为其默认规则和设置
将KSS重置为默认设置会删除您添加的所有规则。
在“ Kiwi Syslog服务器设置”对话框中,单击“默认值/导入/导出”。
单击加载默认规则和设置。
单击“是”接受更改。