Windows日志SYSLOG外发配置

本文详细介绍如何配置工具软件evtsys，使Windows系统日志通过UDP协议向外发送，实现日志的远程传输与集中管理。

1、 根据电脑Windows系统是32位还是64位，选择对应版本下载即可。我用的是64位系统，所以下载了64位的安装包。

2、 将下载软件中的 evtsys.dll 和 evtsys.exe 两个文件复制到系统 C 盘的 WindowsSystem32 文件夹内即可完成操作。

3、 右键点击命令提示符，选择以管理员身份运行，具体操作见下图。

4、 在操作界面中，先输入cd c:windowssystem32命令，进入该系统目录，随后执行evtsys –i –h 192.168.2.104指令。接下来将对evtsys命令的各项参数含义进行具体说明，帮助理解其功能与作用，便于正确配置和使用该工具实现所需操作目标。

5、 -i 用于将程序安装为系统服务

6、 指定日志服务器IP地址

7、 在IP地址后输入所需端口，两者之间用空格分隔。若未指定端口，则默认使用514端口。

8、 完成上述命令后，evtsys已成功安装并注册至服务列表中。

9、 在开始菜单的运行框中输入 gpedit.msc，打开本地组策略编辑器。进入后依次展开计算机配置，选择Windows设置下的安全设置选项。在此处启用所需记录的Windows日志类型。系统通过 evtsys 工具实时监控日志变化，一旦检测到新日志生成，便会将其转换为符合 syslogd 格式的数据，并通过 UDP 协议的 514 端口自动发送至指定的 syslogd 服务器，实现日志的集中收集与管理。

10、 以管理员权限打开命令提示符，输入并执行net start evtsys命令来启动服务，随后进行测试，确认消息是否成功发送。

11、 启动syslogwatcher，配置接收端口为514，字符编码选择UTF-8，点击监听按钮开始监控514端口，检查是否有来自Windows系统的日志消息发送过来。

12、 为确保测试效果清晰，建议重启安装了evtsys的设备。本次syslogwatcher与evtsys分别部署于不同主机，以方便进行测试验证和结果观察。

13、 若重启并重新安装evtsys后仍无日志显示，可按以下步骤逐一排查问题原因。

14、 确保接收日志端的系统防火墙已关闭。

15、 确认安装了evtsys的机器是否已启动服务，若未启动，需在服务列表中手动开启。