在昨天的推文中，有朋友留言想要看看kiwi syslog的文章，并且是win系统下，今天安排一下：

一、Kiwi_Syslog的安装

下载地址：

链接：https://pan.quark.cn/s/008c896fae84 提取码：ckJa 

1、 下载kiwi_syslog_server，解压后，运行Kiwi_Syslog_Server_9.5.0.setup.exe ，点 I Agree ；

2、默认选项，然后点Next继续

3、默认选项，点击Next

4、（这里的意思好像是 安装网页的日志获取服务，具体看不懂，不安装不影响正常使用。）我这里将对勾去掉，然后点Next

5、默认设置

6、默认路径，点击install

6、如果在这里提示需要安装.net 3.5点击安装即可

（如果提示无法安装的话关闭就行，安装程序会继续的，但是需要在安装完成后手动安装.net 3.5）

7、完成后取消对勾点Finish

8、安装完成后在任务管理器中先结束掉syslogd_service的进程

9、将“Keygen注册机”文件夹中SolarWinds.Licensing.Framework.dll和ufmod.dll复制到软件安装目录“C:Program Files (x86)Syslogd”覆盖

10、打开桌面上的Kiwi Syslog Server Console程序

11、点击上方Help>>Enter license details选择第二个选项点Next

12、点击复制ID

13、然后打开刚才的“Keygen注册机”文件夹的“keygen.exe”

14、将ID复制进去，username随便填，时间默认就行

15、然后点Generate!导出文件到随便一个目录

16、然后再回到刚才的软件点导入，选择刚才导出的文件

17、然后点完成后就会出现一个序列号的弹框，点Close关闭就行

这样安装和注册就已经完成了

二、配置

1、点击左上角的File>>Setup

2、选择左侧Log to file

3、这里可以设置日志文件的存放位置以及存放格式

kiwi syslog软件收集的SNMP数据默认的保存方式是：以日期时间为序，在一个文件中保存所有设备的日志，每小时生成一个文件。这样的保存方式是很不利于查询各设备的log信息的，所以在比较新的版本中增加了以设备IP地址分开保存的方式，但软件上的设置选项并未明确提示，所以一般很容易忽略掉。应在log to files的选项卡中的保存路径和文件名选项中手工键入：sys%IPAdd4.txt 如下图

设置好后点Apply

4、再点击左侧Shedules，然后点击左上角的“新建”进行配置计划任务

• Schedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）
• Source字段（设置临时存储日志的路径）
• Destination字段（设置最终日志存储目录）

我这里设置的是6小时记录一次，其他都是默认的

这里是最后保存log文件的位置，可以随意设置。我这里是默认路径

5、点击左侧Input>UDP修改Date encoding的值为Utf-8防止部分带有汉字的日志为乱码

这样配置就做好了

注意：如果以上操作都没问题后，需要重启服务器才可以正常使用

三、发送端的设置（比如：防火墙或者windows）

1、防火墙的话每个品牌的设置方法都不一样，我这里是网神的防火墙

具体请查询设备文档

2、Windows的设置如下

需要先下载Evtsys

链接：https://pan.quark.cn/s/98b757564e9f 提取码：ZzER 

解压后，先选择对应的系统文件

然后将文件夹里的全部文件拷贝到“C:WindowsSystem32”目录

打开Windows命令提示符

（开始>运行>输入CMD回车进入Windows命令提示符）

输入

evtsys.exe -i -h 192.168.100.1；   

注释：

• -i 表示安装成系统服务
• -h 指定log服务器的IP地址

这里的ip地址改成刚配置好Kiwi_syslog的服务器地址

然后再启动该服务

net start evtsys 

启动后会有中文提示：服务已经启动成功

卸载该服务的命令是

net stop evtsys   evtsys -u 

其他设备的设置

1、 Cisco客户端设备配置

进入到conf模式配置

R1#configure t   R1(config)#logging on #开启日志服务   R1(config)#logging host 192.168.100.100 #定义日志服务器IP地址   R1(config)#logging facility local7 #定义facility级别，默认为7   R1(config)#logging trap 7 #定义severity级别（0-7；日志记录级别 7表示全部启用）   R1(config)#logging source-interface e0 #日志发出使用的端口   R1(config)#exit   R1#show logging 

2、 Huawei设备举例

system-view   [Sysname] info-center enable #开启信息中心   [Sysname] info-center loghost 192.168.100.100 channel loghost #指定向日志主机输出日志信息的通道为 loghost 通道   [Sysname] info-center source default channel loghost debug state off log state off trap state off #关闭所有模块日志主机的 log、trap、debug 的状态（注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态）。   [Sysname] info-center source default channel loghost log level informational #允许输出信息的模块为所有模块 source：default   display channel loghost #查看通道状态