В данной заметке я покажу как настроить перенаправление событий системы Windows 7 на централизованный сервер хранения логов поднятый в одной из заметок на моём блоге.
В моём, случае я разберу установку для архитектуры x86
Узнать используемую у Вас ось можно, к примеру через консоль командной строки, для этого введите следующую строку:
C:\Users\ekzorchik>Wmic os get osarchitecture
По указанной ниже ссылке скачиваем пакет применительно к Вашей архитектуре:
http://code.google.com/p/eventlog-to-syslog/downloads/list
Распаковываем скачанный файл и копируем файлы evtsys.dll & evtsys.exe в каталог c:\windows\system32\
Далее через командную строку запускаем evtsys.exe:
C:\Users\ekzorchik>cd /d c:\windows\system32
C:\Users\ekzorchik>evtsys.exe -i -h 172.16.128.69
Checking ignore file…
Jan 29 12:26:43 WTEST Error opening file: evtsys.cfg: The system cannot f
ind the file specified.
Jan 29 12:26:43 WTEST Creating file with filename: evtsys.cfg – И создаётся также конфигурационный файл evtsys.conf
Command completed successfully
Далее открываем оснастку управления службами для системы:
Старт – Панель управления – Администрирование – Службы и видим, появилась служба
“Eventlog to Syslog”, запускаем её:
Либо через командную строку:
c:\Windows\System32>net start evtsys
Служба “Eventlog to Syslog” запускается.
Служба “Eventlog to Syslog” успешно запущена.
Данная служба работает по принципу пересылки событий журнала Windows.
Размер журнала пересылаемого на централизованный сервер редактируется через ветку реестра: – HKLM\SOFTWARE\ECN\EvtSys\3.0\
Min send packets: (из доки Reame.rtf)
The maximum size of a Syslog message is defined as 1024 bytes. Anything beyond this threshold is truncated.
The “Eventlog to Syslog” service polls for messages every 5 seconds.
HKLM\SOFTWARE\ECN\EvtSys\3.0\
MaxMessageSize 0x00000400 (1024)
Max send Packets: (из доки Reame.rtf)
The maximum size of a Syslog message is defined as 1024 bytes. Anything beyond this threshold is truncated.
The “Eventlog to Syslog” service polls for messages every 5 seconds.
HKLM\SOFTWARE\ECN\EvtSys\3.0\
MaxMessageSize 0x00001000 (4096)
После перезагрузки (или ручного запуска сервиса evtsys) все журналы Windows будут передаваться в rsyslog нашего сервера и, соответственно, будут доступны в веб-интерфейсе LogAnalyzer.
К примеру, создадим в ручную событие в системе через командную строку:
C:\Users\ekzorchik>eventcreate /L Application /so TestMessage /t error /id 1 /d
“Тестовое сообщение с системы Windows 7 x86″
УСПЕХ: событие ‘error’ создано в журнале ‘Application’ с источником ‘TestMessage
Открыв web интерфейс консоли мониторинга видим сообщение:
Щелкаем по нему и видим подробную информацию
, как видите сообщения успешно пересылаются, на консоль мониторинга.
Вот собственно и весь процесс установки. На этом всё, удачного мониторинга.