Windows Eventlog und Syslog Server

Aus Laub-Home Wiki

Hier ein paar Tools wie man Windows dazu bringt, seine Logs in einen Syslogserver zu übertragen.

evtsys - Eventlog-To-Syslog

Man kann relativ simple einen Windows Server / Client dazu überreden seine Events an einen Syslogserver zu schicken. Man benötigt hierfür nur das kleine Tool eventlog-to-syslog, welches man hier bekommt:

Einfach das richtige Zip Paket (32 oder 64Bit) herunterladen und nach 

c:\windows\system32\

entpacken.
Als Dienst kann das ganze dann mit folgendem Befehl installiert werden: 

c:\windows\system32\evtsys.exe -i -h 192.168.1.1 -p 514

Folgende Kommandos werden unterstützt: 

Usage: evtsys.exe -i|-u|-d [-h host] [-b host] [-f facility] [-p port]
  -i           Install service
  -u           Uninstall service
  -d           Debug: run as console program
  -h host      Name of log host
  -b host      Name of secondary log host (optional)
  -f facility  Facility level of syslog message
  -p port      Port number of syslogd
  -q bool      Query the Dhcp server to obtain the syslog/port to log to
               (0/1 = disable/enable)

Default port: 514
Default facility: daemon
Host (-h) required if installing.

Wenn der Dienst nun gestartet wurde sollte schon der erste Logeintrag auf dem Syslogserver erscheinen: 

May 30 10:38:51 PC03 Eventlog to Syslog Service Started: Version 4.2 (32-bit)

Winlogd

Falls es bei evtsys zu Problemen kommen sollte, wie zum Beispiel das ein Windows Rechner die Host Splate leer läst und diesen in die Syslogtag Spalte einträgt, der kann auf Winlogd umstellen. Dieses Toll funktioniert ähnlich wie evtsys. Die Installation beschränkt sich auf das Herunterladen der aktuellen EXE Datei in das Windows\System32 Verzeichnis. Dannach die EXE mit dem Schalter "-i" starten und in der Registry den SyslogServer anpassen. Fertig: 

winlogd.exe -i

kommt es hier zu folgender Fehlermeldung:

Die Anwendung konnte nicht gestartet werden, weill MSVCR71.dll nicht gefunden wurde. Neuinstallation der Anwendung könnte das Problem beheben.

Einfach den PC nach der MSVCR71.dll durchsuchen und diese nach c:\Windows\System32\ kopieren. Existiert diese nirgends, bekommt man sie hier:

nun eine Registry Datein anlegen:
winlogd.reg 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlogd\Parameters]
"Flush"=dword:00001770
"Monitor"=dword:00001770
"Port"=dword:00000202
"Server"="192.168.50.40"
"Facility"="local3"

und diese ausführen. Nun noch den Dienst starten: 

net start winlogd

und schon sollte im Syslogserver Log die folgende Zeile kommen: 

May 30 15:08:15 PC03 Service Control Manager[7036] Category:(0); User:; Dienst "winlogd" befindet sich jetzt im Status "Ausgef?hrt".

Quellen

Homepage von Winlogd: http://edoceo.com/creo/winlogd

Abgerufen von „https://www.laub-home.de/index.php?title=Windows_Eventlog_und_Syslog_Server&oldid=6095