Syslog是一个通过IP网络允许一台机器发送事件通知信息给事件收集者(Syslog服务器或者Syslog Daemon)的协议。换言之,就是一台机器或者设备能够被配置,使之产生Syslog信息并且发送到一台特定的Syslog服务器/Daemon。
Syslog信息建立在UDP之上,一般Syslog信息在UDP514端口上被收集,Syslog信息的长度不大于1024字节。由于基于UDP协议,所以当如果因为网络拥塞等情况导致信息包丢失,那么信息将不再重发,而是简单的丢失掉。

Syslog协议是在Unix系统上被创建出来的。使用Syslog,一个远程Unix主机能够很好的跟踪另一台Unix主机。任何应用程序都能够产生Syslog信息

主要说明下syslog服务器端如何配置:

系统:linux

其实服务器端配置非常简单:

主要是配置/etc/syslog.conf(有的linux版本是在/etc/rsyslog.conf) 文件,

将此文件中的#$UDPServerRun 514 注释放开,表示启用udp514端口 ,这样服务器才能接受到其他系统的syslog

其实日志服务器主要配置就是修改1.  在server1上编辑/etc/sysconfig/syslog文件修改如下
#vim /etc/sysconfig/syslog  ## 只修改SYSLOGD_OPTINOS这项,如下
SYSLOGD_OPTIONS="-m 0 -r"3.配置防火墙,syslog传送日志的端口是UDP的514端口防火墙在默认的情况下是阻止所有的,这里就   直接把防火墙关闭了,防火墙的配置就不介绍了 【Linux公社 http://www.linuxidc.com 】
#service iptables stop
#chkconfig iptables off
ok!到这里服务器的配置基本就结束了.

客户端配置:

unix:
/etc/syslog.conf定义日志的类型以及日志的级别和日志存放的位置,这里就只简      单的介绍下大体的配置思路,
 #vim /etc/syslog.conf
 *.*                           @10.0.0.1
 上面的配置表示所有的日志类型.所有的日志的级别的日志都将存放在10.0.0.1这台日志服务器上
 2,重启syslog
 #service syslog restartwindows:

由于Windows只支持EventLog,所以要想使用标准的syslog来使用的话需要有个message converter。它的功能为监听eventLog,如果有新的eventLog,则将它转化成标准的形式,并把它发送到配置好的server。我现在找到的免费的工具包括

1) EvtSys(已尝试使用):这款是网上说的比较多的,这是一个非常小巧而且免费的
第三方日志记录软件,文件才几十K大小,非常小巧,解压后是两个文件evtsys.dll和evtsys.exe,把这两个文件拷贝到 c:\windows\system32目录下。打开Windows命令提示符(开始->运行 输入CMD) C:\>evtsys –i –h 192.168.10.100
-i 表示安装成系统服务

-h 指定log服务器端地址ip

如果要卸载则 :net stop evtsys

evtsys -u

启动该服务

net start evtsys