【等保工具箱】kiwi-syslog-server好用的日志审计服务器部署

1.前言

2.工具简介

Kiwi Syslog 是市场上最值得信赖的基于 Windows 的 syslog 服务器解决方案之一。该产品的安装与配置非常简单，提供功能丰富的解决方案来接收、记录、显示并转发各种网络设备（例如路由器、交换机、Unix 主机以及其它启用 syslog 的设备）的 syslog 消息。

1. 接收并管理您网络设备中的 syslog 消息
2. 同时显示多个窗口中的 syslog 消息
3. 按主机名称、主机 IP 地址、优先级、消息文本关键字或时间来过滤消息
4. 提供基于消息内容、消息量或元数据的高级警报
5. 自动执行基于警报的操作，包括发送邮件、转发消息、触发声音警报、发送 SNMP 陷阱消息与寻呼 IT 人员
6. 生成趋势分析图表与电子邮件 syslog 流量统计

亮点：

·很容易的基于文本字符串来搜索来找到一个特定的日志信息，从而通过强大的功能网络从任何地方查看日志。
·快速筛选结果，建立动态过滤筛选的信息。
·在现有产品得到更新时，可以立即看到通知。
·过滤信息和创建先进的具有高级脚本处理警报。
·登录到任何与 ODBC 数据库日志。
·附表归档和日志维修使用自动日志归档。
·可同时在多个窗口查看 syslog 消息。
·自动警报基础上执行，包括发送电子邮件，转发邮件的行动，触发声响报警器，发送 SNMP Trap 消息，并传呼IT人员。
·作为许多高级选项之一，在转发信息上保留原有的 IP 源。
·用集成的日志转发器，从 Windows 服务器转发 Windows 事件日志到 kiwi Syslog 服务器。
·生产趋势分析图表和电子邮件系统日志流量统计。

3.工具安装

工具下载连接：

3.1 日志平台搭建

在安装KIWI日志平台前，请先安装NET Framework3.0 以及NET Framework 2.0

解压文件：kiwi_syslog_server（这个安装到服务器）.zip，并打开Kiwi_Syslog_Server_9.5.0.setup.exe进行下一步安装，安装过程默认下一步即可，

提示1：在安装到这一步时，可以考虑是否安装网页服务，网页服务主要是提供通过网页查看日志平台的日志

当你下一步全部安装完成，先结束syslod_service进程（接下来准备通过激活工具进行日志软件激活）

将“Keygen注册机”文件夹中SolarWinds.Licensing.Framework.dll和ufmod.dll复制到软件安装目录“C:\Program Files (x86)\Syslogd”覆盖

打开桌面上的Kiwi Syslog Server Console程序

然后打开刚才的“Keygen注册机”文件夹的“keygen.exe”

将ID复制进去，username随便填，时间默认就行

然后再回到刚才的软件点导入，选择刚才导出的文件

然后点完成后就会出现一个序列号的弹框，点Close关闭就行

这样安装和注册就已经完成了

1、点击左上角的File>>Setup
2、选择左侧Log to file

再点击左侧Shedules，然后点击左上角的“新建”进行配置计划任务
Schedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）
Source字段（设置临时存储日志的路径）
Destination字段（设置最终日志存储目录）

3.2 windows日志投送配置

登录需要投递日志的windows终端

解压：Evtsys_4.5.1_32-Bit-LP（这个是windows系统使用）.zip，里面包含32位，以及64位安装程序

开始>运行>输入CMD回车进入Windows命令提示符，切换到对应安装程序位置
输入：evtsys.exe -i -h 192.168.100.1；

注释：
-i 表示安装成系统服务
-h 指定log服务器的IP地址
这里的ip地址改成刚配置好Kiwi_syslog的服务器地址

然后再启动该服务
net start evtsys
启动后会有中文提示：服务已经启动成功
卸载该服务的命令是
net stop evtsys
evtsys -u

到此，windows日志接入完成，可以登录kiwi服务器查看

3.3 常见网络设备投递日志配置

1、 Cisco客户端设备配置
进入到conf模式配置
R1#configure t
R1(config)#logging on #开启日志服务
R1(config)#logging host 192.168.100.100 #定义日志服务器IP地址
R1(config)#logging facility local7 #定义facility级别，默认为7
R1(config)#logging trap 7 #定义severity级别（0-7；日志记录级别 7表示全部启用）
R1(config)#logging source-interface e0 #日志发出使用的端口
R1(config)#exit
R1#show logging

2、 Huawei设备举例
system-view
[Sysname] info-center enable #开启信息中心
[Sysname] info-center loghost 192.168.100.100 channel loghost #指定向日志主机输出日志信息的通道为 loghost 通道
[Sysname] info-center source default channel loghost debug state off log state off trap state off #关闭所有模块日志主机的 log、trap、debug 的状态（注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态）。
[Sysname] info-center source default channel loghost log level informational #允许输出信息的模块为所有模块 source：default
display channel loghost #查看通道状态