最近在运维项目中遇到了需要用日志服务器来存储防火墙日志，问了好多人都不会搭建，没办法只能自己百度找教程，却没找到比较好的。
下面是我自己总结的比较简单的搭建方法：

一、Kiwi_Syslog的安装

下载地址：链接：http://pan.baidu.com/s/1mhVr84S 密码：ptas

1、 下载kiwi_syslog_server，解压后，运行Kiwi_Syslog_Server_9.5.0.setup.exe ，点 I Agree ；

2、默认选项，然后点Next继续

3、默认选项，点击Next

4、(这里的意思好像是 安装网页的日志获取服务，具体看不懂，不安装不影响正常使用。)我这里将对勾去掉，然后点Next

5、默认设置

6、默认路径，点击install

6、如果在这里提示需要安装.net 3.5点击安装即可
(如果提示无法安装的话关闭就行，安装程序会继续的，但是需要在安装完成后手动安装.net 3.5)
7、完成后取消对勾点Finish

8、安装完成后在任务管理器中先结束掉syslogd_service的进程

9、将“Keygen注册机”文件夹中SolarWinds.Licensing.Framework.dll和ufmod.dll复制到软件安装目录“C:Program Files (x86)Syslogd”覆盖

10、打开桌面上的Kiwi Syslog Server Console程序

11、点击上方Help>>Enter license details选择第二个选项点Next

12、点击复制ID

13、然后打开刚才的“Keygen注册机”文件夹的“keygen.exe”
14、将ID复制进去，username随便填，时间默认就行

15、然后点Generate!导出文件到随便一个目录

16、然后再回到刚才的软件点导入，选择刚才导出的文件

17、然后点完成后就会出现一个序列号的弹框，点Close关闭就行

这样安装和注册就已经完成了

二、配置

1、点击左上角的File>>Setup
2、选择左侧Log to file

3、这里可以设置日志文件的存放位置以及存放格式
kiwi syslog软件收集的SNMP数据默认的保存方式是：以日期时间为序，在一个文件中保存所有设备的日志，每小时生成一个文件。这样的保存方式是很不利于查询各设备的log信息的，所以在比较新的版本中增加了以设备IP地址分开保存的方式，但软件上的设置选项并未明确提示，所以一般很容易忽略掉。应在log to files的选项卡中的保存路径和文件名选项中手工键入：sys%IPAdd4.txt 如下图

设置好后点Apply

4、再点击左侧Shedules，然后点击左上角的“新建”进行配置计划任务
Schedule字段添加日志计划频率(按小时算、每6个小时记录一次，一天记录4次)
Source字段(设置临时存储日志的路径)
Destination字段(设置最终日志存储目录)

我这里设置的是6小时记录一次，其他都是默认的

这里是最后保存log文件的位置，可以随意设置。我这里是默认路径

5、点击左侧Input>UDP修改Date encoding的值为Utf-8防止部分带有汉字的日志为乱码

这样配置就做好了

注意：如果以上操作都没问题后，需要重启服务器才可以正常使用

三、发送端的设置(比如：防火墙或者windows)

1、防火墙的话每个品牌的设置方法都不一样，我这里是网神的防火墙

具体请查询设备文档

2、Windows的设置如下

需要先下载Evtsys

链接：http://pan.baidu.com/s/1i4BeMZ7 密码：5b1u

解压后，先选择对应的系统文件

然后将文件夹里的全部文件拷贝到“C:WindowsSystem32”目录

打开Windows命令提示符
(开始>运行>输入CMD回车进入Windows命令提示符)
输入
evtsys.exe -i -h 192.168.100.1；

注释：
-i 表示安装成系统服务
-h 指定log服务器的IP地址
这里的ip地址改成刚配置好Kiwi_syslog的服务器地址

然后再启动该服务
net start evtsys

启动后会有中文提示：服务已经启动成功

卸载该服务的命令是
net stop evtsys
evtsys -u

其他设备的设置

1、 Cisco客户端设备配置
进入到conf模式配置
R1#configure t
R1(config)#logging on #开启日志服务
R1(config)#logging host 192.168.100.100 #定义日志服务器IP地址
R1(config)#logging facility local7 #定义facility级别，默认为7
R1(config)#logging trap 7 #定义severity级别(0-7；日志记录级别 7表示全部启用)
R1(config)#logging source-interface e0 #日志发出使用的端口
R1(config)#exit
R1#show logging

2、 Huawei设备举例
system-view
[Sysname] info-center enable #开启信息中心
[Sysname] info-center loghost 192.168.100.100 channel loghost #指定向日志主机输出日志信息的通道为 loghost 通道
[Sysname] info-center source default channel loghost debug state off log state off trap state off #关闭所有模块日志主机的 log、trap、debug 的状态(注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道(本例为loghost )上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。可以用display channel 命令查看通道的状态)。
[Sysname] info-center source default channel loghost log level informational #允许输出信息的模块为所有模块 source：default
display channel loghost #查看通道状态