kiwi syslog设置问题求高手

第一步：新建规则CiscoRouter

1.新建Filters IP:收集来自192.168.0.1的日志

2.新建Action Display01：收集的数据显示在软件的第一个屏幕（00-09）

3.新建Action Log to file：设置日志保存路径G:\event

如果启用Enable Log File Rotaion,设置Maximum log file 1 Day(s)则每天保存一个当天的日志，并且命名格式为Cisco.txt.001，Cisco.txt.002，如此类推保存每天的日志 

这里我们不进行设置

第二步：设置保存每天日志、删除1个月前旧日志的计划安排

1.新建计划Save File，频率设置为每天一次，其他默认

设置备份日志的源路径G:\event

Destination

每天将源路径文件移动到目标文件夹G:\eventold，并且新建以当天日期命名的文件夹,这样源路径就只保存有当天的日志

Archive Options

可以把移动的文件进行压缩设置，或者触发一个程序的运行，这里我们不设置

Archive Notifications

如果软件email选项设置了邮件帐号，还可以通过该设置，把每天的报告发给指定的邮箱

2.新建计划Clean Up

Source需要删除一个月前的日志文件G:\eventold

Cisco Logging配置

logging on 

logging host 192.168.0.x 

logging facility local7 将记录事件类型定义为local7 

logging trap warning 将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslog server. 

logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址 

service timestamps log datetime 发送记录事件的时候包含时间标记 

到此配置完毕

Window Logging 配置

解压后是两个文件evtsys.dll和evtsys.exe ，把这两个文件拷贝到 c:\windows\system32目录下。（64位系统(c:\windows\SysWOW64\)

打开Windows命令提示符（开始－>运行 输入CMD）

C:\>evtsys –i –h 192.168.0.2

-i 表示安装成系统服务   -h 指定log服务器的IP地址

打开windows组策略编辑器 (开始->运行 输入 gpedit.msc)，在windows设置－>安全设置 －>本地策略－>审核策略中，打开你需要记录的windows日志。evtsys会实时的判断是否有新的windows日志产生，然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。

卸载：1. net stop evtsys  2. evtsys –u

用scp命令： 发送user01下sys.log文件到192.168.1.1这台服务器的user01用户目录下 如果你做了信任登陆，直接发送就行 没做的话要输入密码 @前面的是目标机器用户名，一般做信任登陆都不会用root账户 1 scp /home/user01/sys.log user01@192.168....

在Windows中构建蜜罐的方法如下：

一：安装一个win2k pro，具体的安装方法本文就省略了，打上所有的补丁，只留一个漏洞，就是dvldr蠕虫需要的administrator的空密码。

二：安装norton antivirus enterprise client，升级到最新的病毒库，并启动实时监控。

三：用cmdlog替换cmd.exe程序,把comlog101.zip解压缩后有五个文件。cmd.exe,cmd101.pl,COMLOG.txt,MD5.txt,README.txt,其中cmdlog.txt和readme.txt都是说明文件，md5.txt包含这五个文件的md5校验和的值，我们可以使用md5sum.exe工具来检测一下他们是否遭受修改。

四：安装日志服务器，我们选择Kiwi的Syslog Daemon 7是因为他够专业并且有很多统计信息和支持产品，一路next并启动服务即可。

---