Iphostmonitor：如何保存传入的Syslog事件？

如何在调整Syslog 监视器时保存传入事件？

Q:在看到Syslog 事件之前，我无法正确过滤它们。有没有办法记录这些事件？

A:是的，可以使用Python 脚本来保存Syslog 监视器事件（分别为每台主机）。请按照以下说明进行操作

下载示例Python 脚本

下面的脚本：

store-syslog.zip(897 bytes)

可以用作原型来保存Syslog 事件并存储它们以供进一步检查。进一步的说明假设如下：

1、脚本(store-syslog.py) 放在C:Scripts 文件夹中

2、日志文件写入C:Scriptslogs 文件夹

创建这两个文件夹，或更改以下说明中的相应路径。注意：重要的是 SYSTEM 帐户可以创建文件并写入C:Scriptslogs 文件夹。

从上述存档中解压store-syslog.py 脚本（1391字节）并将其放入C:Scripts 文件夹中。

创建警报和警报规则以处理Syslog 事件

启动IPHost GUI 客户端并打开一个新的警报编辑器（“设置> 警报”，单击“新建”）：

单击“新建> 新建简单操作> 执行Python 脚本”。

输入新的Python 脚本字段，如下所示：

解释：

路径：是放置脚本的地方（它必须是 SYSTEM帐户可读的）。

参数：参数中唯一的字符串是应在其中创建日志的文件夹名称。请确保最后有反斜杠（‘’）。

输入数据：输入两个字符串，每个字符串换行：

（在每行后按“Enter”）。在调用脚本之前，“$EventDetails”变量将扩展为接收到的实际系统日志数据。

单击“确定”。

创建新的警报规则（“设置> 警报规则> 新建”）。填写以下字段：

（即，仅使用“事件警报”，其他保留为“不报告”）

单击“确定”。

分配警报规则并测试脚本

选择一个系统日志监视器，打开其“警报”选项卡并分配新创建的“保存系统日志数据”警报规则：

单击“保存”。

启动Syslog 监视器（或停止并启动它）。如果一切设置正确，将在日志文件夹（上例中的C:Scriptslogs）中创建新的日志文件，名为“IPaddress.syslog.txt”，其中“IPAddress”是计算机的数字IP 地址发送 Syslog 事件的主机。

例如，如果主机IP 是10.20.30.40，那么日志文件将被命名为

上面的文件将包含如下所示的条目：

如果您只需要上述部分字段，请根据需要随意编辑store-syslog.py。

注意：请将Syslog 监视器更改为仅向您发送所需数据（默认设置接受所有可能的数据）。现实生活中的网络设备每秒可以轻松发送数十个事件——确保您的IPHost 安装有足够的资源来处理系统日志事件流。

注意：如果您正在调试Syslog 监视器（以防获取所需事件时出现问题），您还可以考虑在不同于SYSTEM（默认）的帐户下运行IPHost 监视服务，以防您需要帐户真实的用户档案。

审核编辑 ：李倩