如何在調整Syslog 監視器時保存傳入事件？

Q:在看到Syslog 事件之前，我無法正確過濾它們。有沒有辦法記錄這些事件？

A:是的，可以使用Python 腳本來保存Syslog 監視器事件（分別為每臺主機）。請按照以下說明進行操作

下載示例Python 腳本

下面的腳本：

store-syslog.zip(897 bytes)

可以用作原型來保存Syslog 事件并存儲它們以供進一步檢查。進一步的說明假設如下：

1、腳本(store-syslog.py) 放在C:Scripts 文件夾中

2、日志文件寫入C:Scriptslogs 文件夾

創建這兩個文件夾，或更改以下說明中的相應路徑。注意：重要的是 SYSTEM 帳戶可以創建文件并寫入C:Scriptslogs 文件夾。

從上述存檔中解壓store-syslog.py 腳本（1391字節）并將其放入C:Scripts 文件夾中。

創建警報和警報規則以處理Syslog 事件

啟動IPHost GUI 客戶端并打開一個新的警報編輯器（“設置> 警報”，單擊“新建”）：

單擊“新建> 新建簡單操作> 執行Python 腳本”。

輸入新的Python 腳本字段，如下所示：

解釋：

路徑：是放置腳本的地方（它必須是 SYSTEM帳戶可讀的）。

參數：參數中唯一的字符串是應在其中創建日志的文件夾名稱。請確保最后有反斜杠（‘’）。

輸入數據：輸入兩個字符串，每個字符串換行：

（在每行后按“Enter”）。在調用腳本之前，“$EventDetails”變量將擴展為接收到的實際系統日志數據。

單擊“確定”。

創建新的警報規則（“設置> 警報規則> 新建”）。填寫以下字段：

（即，僅使用“事件警報”，其他保留為“不報告”）

單擊“確定”。

分配警報規則并測試腳本

選擇一個系統日志監視器，打開其“警報”選項卡并分配新創建的“保存系統日志數據”警報規則：

單擊“保存”。

啟動Syslog 監視器（或停止并啟動它）。如果一切設置正確，將在日志文件夾（上例中的C:Scriptslogs）中創建新的日志文件，名為“IPaddress.syslog.txt”，其中“IPAddress”是計算機的數字IP 地址發送 Syslog 事件的主機。

例如，如果主機IP 是10.20.30.40，那么日志文件將被命名為

上面的文件將包含如下所示的條目：

如果您只需要上述部分字段，請根據需要隨意編輯store-syslog.py。

注意：請將Syslog 監視器更改為僅向您發送所需數據（默認設置接受所有可能的數據）。現實生活中的網絡設備每秒可以輕松發送數十個事件——確保您的IPHost 安裝有足夠的資源來處理系統日志事件流。

注意：如果您正在調試Syslog 監視器（以防獲取所需事件時出現問題），您還可以考慮在不同于SYSTEM（默認）的帳戶下運行IPHost 監視服務，以防您需要帳戶真實的用戶檔案。

審核編輯 ：李倩