Syslog sur Windows : le logiciel libre à la rescousse

Contrairement à Linux où Syslog est installé nativement via le démon rsyslog, Windows ne dispose que d’un journal des événements accessible au travers des commandes eventvwr.exe ou eventvwr.msc. J’ai aidé à la mise en place de  Syslog sur Windows dès 2004 dans une grande assurance française ! A cette époque, nous utilisions la solution commerciale Kiwi Syslog Server pour centraliser les messages Syslog. Il n’y a aujourd’hui plus aucun intérêt à utiliser ce produit.

Evtsys, un agent syslog Open Source pour Windows

Evtsys – traduisez par Eventlog to Syslog – est un agent Syslog Open Source pour Windows qui transfère les événements vers un serveur Syslog. Pour l’installer, vous devez dézipper l’archive que vous aurez téléchargée au préalable et copier l’exécutable dans le dossier c:\windows\system32 de votre système Windows. Puis, vous devrez procéder à l’installation du service, comme suit :

c:
cd /windows/system32
evtsys -i -h 192.168.1.100 -f local0 -t server1 -l 0
Usage: evtsys -i|-u|-d [-h host[;host2;...]] [-f facility] [-p port]
[-t tag] [-s minutes] [-q bool] [-l level] [-n] [-a]
-i Install service
-u Uninstall service
-d Debug: run as console program
-a Use our IP address (or fqdn) in the syslog message
-h host Name of log host(s), separated by a ';'
-f facility Facility level of syslog message
-l level Minimum level to send to syslog.\n", stderr);
0=All/Verbose, 1=Critical, 2=Error, 3=Warning, 4=Info
-n (**Win9x/Server 2003 Only**) Include only those events specified
in the config file.
-t tag Include tag as program field in syslog message
-p port Port number of syslogd
-q bool Query the Dhcp server to obtain the syslog/port to log to
(0/1 = disable/enable)
-s minutes Optional interval between status messages. 0 = Disabled
Default port: 514
Default facility: daemon
Default status interval: 0
Host (-h) required if installing

Vous devez ensuite démarrer le service :

net start evtsys

Pour désinstaller evtsys :

net stop evtsys
cd /windows/system32
evtsys -u

Visual Syslog Server, un serveur syslog Open Source pour Windows

J’ai essayé des tas de solutions issues du logiciel libre en lieu et place du logiciel commercial Kiwi Syslog Server. Rien ne trouvait grâce à mes yeux, jusqu’à ce que je tombe sur Visual Syslog Server. Le seul inconvénient de ce fabuleux outil est qu’il ne s’exécute pas en service. Pour le reste, il gère à la perfection les alertes mail et la rotation des logs !

Visual Syslog Server

Affichage

Pensez tout d’abord à passer en UTF-8 à partir du bouton Setup de la console Visual Syslog Server :

Visual Syslog Server en UTF-8

J’ai également désactivé l’écoute en mode TCP.

Rotation des logs

Le logiciel prend également en charge la rotation des logs, par période ou par taille à partir de Setup > Files :

Rotation des logs dans Visual Syslog Server

Configuration des alertes mail

Vous devez configurer le serveur d’envoi, ainsi que les contenus des messages d’alertes à partir de Setup > E-Mail.

Configuration SMTP dans Visual Syslog Server

Construire les alertes mail

Cliquez sur le bouton Processing de la console. Pour construire votre alerte, cochez Action Active, les niveaux de priorité (Priorities) ainsi que les types de message (Facilities). Entrez le texte de l’alerte au niveau de Text contains.

Alertes Mail dans Visual Syslog Server

J’ai bien reçu le message !

Message envoyé par Visual Syslog Server

Infrastructure  / Linux rsyslog Supervision syslog Windows Server 2012 R2 

Commentaires

On peut également citer l’excellent nxlog http://nxlog.org
Je m’en sert pour envoyer les logs au format gelf vers un serveur graylog https://www.graylog.org

@Pcouas

Oui.

@fredix

Nxlog est une usine à gaz par rapport à Evtsys.

@Bernard

Tu l’as testé ? Moi, oui. C’est d’ailleurs pour ça que je n’en parle pas. Dernière date de mise à jour : 2005 !

Laisser un commentaire

(requis)

(requis)