Настройка SysLog в Windows
Я безуспешно пытаюсь использовать NTSysLog чтобы захватить мои сетевые компьютеры Журналы безопасности и отправьте их в службу журнала (Loggly в таком случае).
Я могу установить и запустить NTSysLog с компьютера с Windows 7 Professional
из Loggly у меня есть только справка по настройке, относящаяся к Unix, и они указывают:
:: Syslog ::
For UDP, put this in /etc/syslog.conf:
*.* @logs.loggly.com:46031
To restart:
/etc/init.d/syslogd restart
:: rsyslog ::
For UDP, put this in rsyslog.conf:
*.* @logs.loggly.com:46031
Из этого, Как я могу настроить машину с Windows правильно, без необходимости настройки Linux-машины в качестве сервера SysLog, с этого момента я бы отправил сообщения в службу журнала?
Установка Основной демон системного журнала как показано на изображении выше, не регистрирует его.
Итак, вы пытаетесь отправить свои журналы безопасности в незашифрованном виде через Интернет в стороннюю службу?
Вы уверены, что хотите это сделать? С точки зрения безопасности это совершенно глупо.
Сказав это: на ум приходят 3 вещи. (Хотя я не знаком с NTSyslog.)
- Похоже, вы предполагаете, что журнал безопасности Windows совпадает с событиями системного журнала типа Безопасность. Журналы Windows вообще не имеют ничего общего с системным журналом. Если NTSyslog не может конвертировать между двумя, это нормально, что вы не видите никаких событий.
- Допускает ли NTSyslog использование нестандартного номера порта (: 46031)?
- Допускает ли ваш брандмауэр рассылку UDP-пакетов?
Взгляни на nxlog. Он может безопасно отправлять ваши журналы событий, есть поддержка TLS / SSL и HTTP. Вы также можете отформатировать свои журналы в JSON и полностью пропустить формат syslog. Я думаю, что эти функции помогут лучше интегрироваться с loggly. (Отказ от ответственности: я связан с проектом.)