如何在调整 Syslog 监视器时保存传入事件?
Q: 在看到 Syslog 事件之前,我无法正确过滤它们。 有没有办法记录这些事件?
A: 是的,可以使用 Python 脚本来保存 Syslog 监视器事件(分别为每台主机)。 请按照以下说明进行操作
下载示例 Python 脚本
下面的脚本:
可以用作原型来保存 Syslog 事件并存储它们以供进一步检查。 进一步的说明假设如下:
- 脚本 (store-syslog.py) 放在 C:\Scripts 文件夹中
- 日志文件写入 C:\Scripts\logs 文件夹
创建这两个文件夹,或更改以下说明中的相应路径。 注意:重要的是 SYSTEM 帐户可以创建文件并写入 C:\Scripts\logs 文件夹。
从上述存档中解压 store-syslog.py 脚本(1391 字节)并将其放入 C:\Scripts 文件夹中。
创建警报和警报规则以处理 Syslog 事件
启动 IPHost GUI 客户端并打开一个新的警报编辑器(“设置 > 警报”,单击“新建”):
单击“新建 > 新建简单操作 > 执行 Python 脚本”。
输入新的 Python 脚本字段,如下所示:
解释:
路径: 是放置脚本的地方(它必须是 SYSTEM 帐户可读的)。
参数:参数中唯一的字符串是应在其中创建日志的文件夹名称。 请确保最后有反斜杠(‘\’)。
输入数据:输入两个字符串,每个字符串换行:
EOF
(在每行后按“Enter”)。 在调用脚本之前,“$EventDetails”变量将扩展为接收到的实际系统日志数据。
单击“确定”。
创建新的警报规则(“设置 > 警报规则 > 新建”)。 填写以下字段:
(即,仅使用“事件警报”,其他保留为“不报告”)
单击“确定”。
分配警报规则并测试脚本
选择一个系统日志监视器,打开其“警报”选项卡并分配新创建的“保存系统日志数据”警报规则:
单击“保存”。
启动 Syslog 监视器(或停止并启动它)。 如果一切设置正确,将在日志文件夹(上例中的 C:\Scripts\logs)中创建新的日志文件,名为“IPaddress.syslog.txt”,其中“IPAddress”是计算机的数字 IP 地址 发送 Syslog 事件的主机。
例如,如果主机 IP 是 10.20.30.40,那么日志文件将被命名为
上面的文件将包含如下所示的条目:
IP: 192.168.122.30
Is RFC 5424: 0
Host: hostname
Application (tag):
Process Id: -1
Message Id:
Severity level: INFO
Facility: user
Date and time:
Structured data:
Message: root: Test message 3
如果您只需要上述部分字段,请根据需要随意编辑 store-syslog.py。
注意:请将 Syslog 监视器更改为仅向您发送所需数据(默认设置接受所有可能的数据)。 现实生活中的网络设备每秒可以轻松发送数十个事件——确保您的 IPHost 安装有足够的资源来处理系统日志事件流。
注意:如果您正在调试 Syslog 监视器(以防获取所需事件时出现问题),您还可以考虑在不同于 SYSTEM(默认)的帐户下运行 IPHost 监视服务,以防您需要帐户 真实的用户档案。
