Evtsys (Eventlog to Syslog Service for Windows) - это программа, которая написана на языке C для преобразования событий из журнала Windows в формат syslog, используемый в службе Windows Events, доступной начиная с Vista и Server 2008. Программа может быть скомпилирована для 32- и 64-разрядных сред.
Установка Evtsys
- Скачиваем последнюю версию Evtsys для своей системы (X86 или X64)
- Распаковываем архив
- Перемещаем файлы в C:\Windows\System32
- Запустить командную строку от имени администратора и перейти в директорию C:\Windows\System32 и выполнить для начала сбора и пересылки журналов 1evtsys.exe -i -h <ip сервера>
- После чего запустит службу 1net start evtsys
1 | eventcreate /L Application /so TestMessage /t error /id 1 /d "Test" |
Параметры командной строки
1 2 3 4 5 6 7 8 9 10 11 | -i Установить сервис -u Удалить сервис -d Дебаг. Запуститься как консольная программа -h host Имя хоста куда отправлять логи -b host Имя второго хоста кому дублировать логи -f facility Facility логов -l level Минимальный уровень отсылаемых сообщений 0=Всё, 1=Критические, 2=Ошибки, 3=Предупреждение, 4=Информация -n Отправлять только эвенты включенные в конфиге -p port Номер порта syslog -q bool Опросить DHCP чтобы получить имя хоста syslog и порт (0/1 = включить/выключить) -s minutes Интервал между сообщениями. 0 = Отключить |
Настройка Evtsys
После установки в директории system32 появится конфиг evtsys.cfg
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 | '!!!!THIS FILE IS REQUIRED FOR THE SERVICE TO FUNCTION!!!! ' 'Comments must start with an apostrophe and 'must be the only thing on that line. ' 'Do not combine comments and definitions on the same line! ' 'Format is as follows - EventSource:EventID 'Use * as a wildcard to ignore all ID's from a given source 'E.g. Security-Auditing:* ' 'In Vista/2k8 and upwards remove the 'Microsoft-Windows-' prefix 'In Vista/2k8+ you may also specify custom XPath queries 'Format is the word 'XPath' followed by a ':', the event log to search, 'followed by a ':', and then the select expression 'E.g XPath:Application:<expression> ' 'Details can be found in the readme file at the following location: 'https://code.google.com/p/eventlog-to-syslog/downloads/list '**********************:************************** XPath:Application:<Select Path="Application">*</Select> XPath:Security:<Select Path="Security">*</Select> XPath:Setup:<Select Path="Setup">*</Select> XPath:System:<Select Path="System">*</Select> XPath:Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:<Select Path="Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational">*</Select> XPath:Windows PowerShell:<Select Path="Windows PowerShell">*</Select> XPath:Microsoft-Windows-Windows Defender/Operational:<Select Path="Microsoft-Windows-Windows Defender/Operational">*</Select> XPath:System:<Kaspersky Event Log="Kaspersky Event Log">*</Select> |
В файл конфигурации можно добавить сбор логов из любых журналов windows
Синтаксис выглядит следующим образом
Для добавления пересылки журналов работы PowerShell
1 | XPath:Windows PowerShell:<Select Path="Windows PowerShell">*</Select> |
Для добавления пересылки журналов Kaspersky Event Log
1 | XPath:System:<Kaspersky Event Log="Kaspersky Event Log">*</Select> |
Таким образом можем добавить пересылку любых журналов.