Windowsのイベントをsyslogサーバに転送
WindowsServer2022のイベントビューアのデータをLinuxのsyslogサーバに転送したいです。
以下の方法で実施しました。WindowsServer4台分のログを送付したいです。
1.NXlogをダウンロードし、インストール
NXlogを公式サイトよりダウンロードし、WindowsServer2022にインストールしました。公式サイトは以下で、
https://nxlog.co/downloads/nxlog-ce#nxlog-community-edition
ダウンロードしたものはこちらになります。
Windows x86-64nxlog-ce-3.2.2329.msi
2.nxlog.confの修正
以下のサイトを参考に、C:\Program Files (x86)\nxlog\conf\nxlog.confの内容を以下のIPの部分だけ修正しました。
XXXの部分はsyslogサーバのIPアドレスが入ります。
参考サイト:https://qiita.com/dan-go/items/d7d525ec44cff939c2d4
------------------------------------------------------------
<Output out>
Module om_udp
Host XXX.XXX.XXX.XXX
Port 514
</Output>
------------------------------------------------------------
3.syslogサーバのフォルダ作成
syslogサーバの/data/log/配下にwindowsフォルダを作成しました。
4.Linuxサーバの/etc/rsyslog.confの追記
以下を追記しました。
------------------------------------------------------------
## Remote host logging
:fromhost-ip, isequal, "XXX.XXX.XXX.XXX" /data/log/windows/event.log
& stop
------------------------------------------------------------
→他に3台設定します。XXXは転送したいWindowsServerのIPアドレスが入ります。
5.WindowsServerのファイアウォールの送信の規則でTCPとUDPの514の許可をしました。
6.以下の様にWindowsServerのシステムを再起動しました。
C:\Users\Administrator>sc stop nxlog
SERVICE_NAME: nxlog
TYPE : 10 WIN32_OWN_PROCESS
STATE : 1 STOPPED
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
C:\Users\Administrator>sc start nxlog
SERVICE_NAME: nxlog
TYPE : 10 WIN32_OWN_PROCESS
STATE : 2 START_PENDING
(NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x7d0
PID : 7772
FLAGS :
7.Linux上で以下のコマンドでシステムを再起動しました。
systemctl restart rsyslog
この手順でA、B、C、Dサーバのうち、A、Bサーバは手順1でNXlogをC:\Program Files (x86)にインストールし、ログの転送が出来ました。
ただ、CサーバはなぜかC:\Program Filesにインストールしてログの転送ができてしまいました。
DサーバはC:\Program Files (x86)でも、C:\Program Filesにインストールしてもログの転送ができません。
元々デフォルトのままインストールするとC:\Program Filesにインストールされてしまい、インストールが上手くいったりいかなかったりで、Cサーバは何度かやり直して設定出来てしまいまった経緯があります。
この設定で良いのかと、Dサーバの設定で見直す箇所などがあれば教えてください。
お礼
回答ありがとうございました。 syslogdの起動時引数を調べましたら -rをつけると外部ホストすべてから受け付ける ようなりました。ありがとうございました。