2

我在通过 syslog-ng Agent for Windows v5.0.7 将我的 Windows 服务器记录到安装了 Syslog-ng PE v5.0 的主 Syslog 服务器时遇到问题。

来自代理的日志以多行形式走动,见下文。有没有人遇到过类似的问题?是否有配置选项,以便日志排成一行?或者一些重写配置?

我谢谢大家

在 syslog 服务器的 syslog.conf 中配置 Windows 日志和多个日志:

filter f_syslog_win_exc { host("(11.22.33.44)"); };
destination d_syslog_win_exc { file("/var/nsm/windows_syslog/test/exch/$HOST-$R_YEAR$R_MONTH$R_DAY.log"); };
log { source(remote_windows); filter(f_syslog_win_exc);       destination(d_syslog_win_exc); };



Jun  9 14:51:33 11.22.33.44 1084 <133>1 2015-06-09T14:51:33+02:00 win_server_2k8 Microsoft_Windows_security_auditing. 508 - [win@18372.4 EVENT_CATEGORY="User Account Management" EVENT_FACILITY="16" EVENT_ID="4725" EVENT_LEVEL="0" EVENT_NAME="Security" EVENT_REC_NUM="210139" EVENT_SID="N/A" EVENT_SOURCE="Microsoft Windows security auditing." EVENT_TASK="User Account Management" EVENT_TYPE="Success Audit" EVENT_USERNAME="win_server_2k8\\syslog-user"][meta sequenceId="3" sysUpTime="14899"] 

Jun  9 14:51:33      4725    Security        win_server_2k8\syslog-user   User    Success Audit   win_server_2k8   User Account Management          A user account was disabled.

Jun  9 14:51:33 11.22.33.44 Subject:

Jun  9 14:51:33 11.22.33.44 Security ID:  win_server_2k8\test

Jun  9 14:51:33 11.22.33.44 Account Name:  test

Jun  9 14:51:33 11.22.33.44 Account Domain:  win_server_2k8       210139  A user account was disabled.

Jun  9 14:51:33 11.22.33.44 Subject:

Jun  9 14:51:33 11.22.33.44 Security ID:  win_server_2k8\test

Jun  9 14:51:33 11.22.33.44 Account Name:  test
4

1 回答 1

0

默认情况下,syslog-ng Windows 代理使用新的 RFC5424 协议发送日志。接收方似乎使用旧的 syslog 协议。您应该在接收端使用 syslog() 源而不是 tcp(),这样可以妥善处理多行消息。

于 2015-06-09T19:11:04.343 回答