一、采集Windows日志
1、登录SIP-Logger设备,进入[系统管理->数据源对接],点击“新增”,选择接入类型为winlogbeat,点击下载Winlogbeat windows agent到windows系统本地。
2、 在windows上解压sangfor-SIP-winlogbeat压缩包至欲安装agent的路径(路径不含特殊字符、空格或中文的目录,防止出现未知问题),按照安装说明进行安装
3、 以管理员身份运行install-service.bat,遵循提示输入SIP-Logger设备的IP 安装完成之后,服务列表里检查是否有SangforSIPWinlogbeat服务
4、 配置Windows本地安全策略,用命令打开本地安全策略secpol.msc建议开启如:
5、 回到SIP-Logger设备控制台,继续在新增数据源弹窗中完善信息,填写日志源名称,选择解析规则为Windows Event Log,选择日志编码(默认为UTF-8),填写 windows系统IP,点击“确定” 6、 SIP-Logger设备上查询到windows设备发送过来的日志:
注意:中间网络放通windows设备到SIP-Logger设备的TCP5044端口。
二、采集Linux系统日志 1、新增日志源
2、填写日志源名称,选择接入方式为syslog,解析规则选择Linux System Log(如果能明确接入的linux系统类型,也可以搜索对应系统类型的解析规则),选择对应的编码(默认为UTF-8),源IP输入接入设备的ip,点击“确定”
1) 登录到 linux 系统中,执行命令:“vi /etc/syslog.conf”(或者 rsyslog.conf)。 2) 在文件末添加如下内容: 测试项目建议在文件末添加以下命令: *.debug @SIP-Logger IP 实施项目建议在文件末添加以下命令: authpriv.* @SIP-Logger IP 注意: *.err @SIP-Logger IP其中@符号前面是一个Tab键而不是空格。 3) 保存配置文件:执行命令“:wq”。 4) 重新启动 syslog 服务,执行命令“service syslog restart”(或者/etc/init.d/rsyslog restart)。 下图是一台Linux配置发送syslog到SIP-Logger(192.168.100.174)的配置:
4、 日志查看,SIP-Logger设备上可以查询到Linux设备发送过来的日志
注意:网络中需要放通linux主机设备到SIP-Logger之间的UDP 514端口 | 
发表于 2022-10-11 12:34
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师1级 
