kiwi syslog mysql_kiwi syslog 配置日志服务器

软件名称：Kiwi Syslog Daemon (freeware version)

版本7.1.4

For use on Windows 95/98/ME/NT4/2000/XP/2003

下载：http://www.kiwisyslog.com

分标准版和服务版，标准版是交互式操作，服务版可以安装成服务，当下次启动可以自己默默在后台运行。

kiwi自由版可以免费使用，但功能有限，不过基本的需求已经可以解决了。如果需要用完全功能的需要注册

，每个licence$99

庞大的网路中日志服务器很重要，假如主机被***，删除所有的系统日志，多冤枉，而日志服务器可以把

所有的***记录如实记载，hacker再这样如入无人之地的时候可要小心。还有些设备自身的存储介质原因不

可能记录海量的数据，也必须把日志转存到日志服务器上来。如果担心日志在传输中被sniffer，可以安装另

外一个软件Kiwi Secure Tunnel，这样传输的日志被加密。

安装过程和一般软件无异， 监听端口 默认的是tcp1468 udp514 snmp162，可以根据需要调整。我从另

外的机器安装标准版后，telnet ip地址 端口 然后输入任何字符，发现均被记录，当时我就想如果把这个行

为作为一个登陆脚本就可以记录服务器是否无故被重启和关机。当我仔细再看kiwi的设置才发现我的想法有

点弱智，kiwi的功能非常齐全和实用。

当接受到日志后会激发它的行为，默认是显示，支持的行为丰富，有：icq消息 脚本 转存其他主机 播放声音

发送邮件 转存为nt事件日志，为应用日志  运行一个外部程序 转存到ODBC(支持oracle mysql mssql

access)等。如果日志服务器的本地磁盘不够可以选择停止接受日志并发声音和邮件报警。

支持的设备有：

ciscoRouter

ciscoPIX

cisco交换机

UNIX主机

3COM dlink的网络设备

netscreen防火墙 Symantec防火墙和×××

FREESCO的路由器和防火墙

Intertex ADSL路由

HP JetDriect printer

朗讯路由

(太多了，我发现只要支持snmp协议和有syslog选项的设备基本都支持，当然大部分设备我没有去试验过

)

日志定义：

DEBUG:

Info useful to developers for debugging the app, not useful during operations

INFORMATIONAL:

Normal operational messages - may be harvested for reporting, measuring throughput, etc -

no action required

NOTICE:

Events that are unusual but not error conditions - might be summarized in an email to

developers or admins to spot potential problems - no immediate action required

WARNING:

Warning messages - not an error, but indication that an error will occur if action is not taken,

e.g. file system 85% full - each item must be resolved within a given time

ERROR:

Non-urgent failures - these should be relayed to developers or admins; each item must be

resolved within a given time

ALERT:

Should be corrected immediately - notify staff who can fix the problem - example is loss of

backup ISP connection

CRITICAL:

Should be corrected immediately, but indicates failure in a primary system - fix CRITICAL

problems before ALERT - example is loss of primary ISP connection

EMERGENCY:

A "panic" condition - notify all tech staff on call? (earthquake? tornado?) - affects multiple

apps/servers/sites...

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

下面给两个设备配置实例：

一 netscreen防火墙日志配置实例(我在ns500上亲自操作过)：

netscreen的flash memory只保存4096条日志，但在网络访问量大的时候根本没用，最多一两天就被后面

的日志给冲掉，而且当防火墙重新启动不能保存日志。

web操作步骤：

1 用admin用户登陆web界面

2 选择Configuration->;Report Settings->;Syslog

3 点击'Enable Syslog'

4 假如你要把所有的传输日志全部记录，最好还要选择'Include Traffic Log'

5 输入日志服务器的地址和端口(udp端口514)

这个是一个叫Kevin Branch的友好提示：

所有的Netscreen policies (permit/deny/tunnel)最好全部有log的默认选项，这样可以全部如实录并传

送到日志服务(假如netscreen设置允许会话没有被指定拒绝)

“Log Packets Terminated to Self" 选项与访问netscreen的会话无关，但最好还是记录所有的会话给

netscreen自己保存，否则哪怕仅仅是管理防火墙，也会显示来自Internet的消息。

命令行操作步骤：

1  set syslog config ip_address security_facility

2  local_facility

3 set syslog enable

4 set syslog traffic

5 set log module system level level destination syslog

提示：当用set syslog config命令需要你定义一个安全facility(不知道怎么翻译，我理解为安全级别)，你

可以用set syslog命令提示选项来看 security_facility 和 local_facility。

必须输入被设置的每个消息的安全层，选项如下：级别是从高到低

emergency (紧急事件)

alert            (警报)

critical          (危机)

error              (错误)

warning          (预告警)

notification     (通知)

information      (信息)

二 cisco router日志配置实例：

首先telnet或者用console连接到目标路由器并进入enable模式。在命令行下输入下面的命令：

Config term

Logging on

Logging Facility Local7  '注释：这个facility可以自己定义的

Logging IP Address '注释：填写安装了Kiwi Syslog Daemon的ip地址或者主机名

End

好了，其他的功能你们自己去领会了，goodluck！

by bobkey/2004.10.4

虽然有点老，但是很实用