路由器上的“Syslog服务器”是干什么的，有什么用处

是用来作日志服务器使的。很多大型的网站都把系统的日志文件保存在单独的服务器上面，这些服务器不提供下载、浏览，只是在后台默默的保存其他服务器的日志信息。

启用这个功能以后，本地路由会把当前主机A当做一台日志服务器来使用，如果其他机器开启了远程日志存储功能，那么其他机器中各种日志信息会通过路由保存到主机A上来，而不是保存在本机。

操作步骤

1.下载evtsys_exe_32.zip，解压

2. 拷贝解压文件 

将解压后的文件拷贝到发送syslog的windows主机的%systemroot%\system32目录下。

3. 配置evtsys 

通过命令行输入：evtsys -i -h hostname

hostname为syslog服务器的主机名或IP地址，命令成功运行后会在系统增加EventLog to Syslog服务。

4. 启动服务 

通过命令行输入：net start evtsys来启动服务。

5. 更改配置 

如果要更改Syslog服务器的地址，则需要通过命令行输入： net stop evtsys evtsys -u

evtsys –i –h newhostname net start evtsys

6. 安装3CDaemon 

在syslog服务器上安装3CDaemon ，3CDaemon 也有绿色版，直接双击就可运行。

7. 配置3CDaemon 的syslog服务

在syslog服务器上启动33CDaemon ，点左边syslog sever的菜单条，设置接收任意IP地址或指定IP地址的Syslog.

8. 验证 

如果配置正确的话,在Syslog服务器上就能接收到客户端发送的Syslog了，客户端操作系统启动时，也会有Syslog发送到Syslog服务器上。

收集windows日志到日志服务器的方法

1、下载并解压缩文档Evtsys_4.4.3_64-Bit

2、复制相关文件（exe和dll文件）到C:\Windows\System32目录

3、双击exe文件，生成cfg文件

4、然后在CMD下执行：C:\Windows\System32>

evtsys.exe -i -h 10.1.1.2 -p 514

这个是标准格式，亦可精简为：

参数说明：

i是安装成Window服务；

h是syslog服务器地址；10.1.1.2 为syslog日志服务器

p是syslog服务器的接收端口。

默认下，端口可以省略，默认是514.

启动Evtsys服务，命令是：

5，此时服务出现EVentlog to syslog服务，通过syslog服务器也能够查询到系统日志，表示安装成功。

---