如何在調整Syslog 監(jiān)視器時保存?zhèn)魅胧录?/p>

Q:在看到Syslog 事件之前，我無法正確過濾它們。有沒有辦法記錄這些事件？

A:是的，可以使用Python 腳本來保存Syslog 監(jiān)視器事件（分別為每臺主機）。請按照以下說明進行操作

下載示例Python 腳本

下面的腳本：

store-syslog.zip(897 bytes)

可以用作原型來保存Syslog 事件并存儲它們以供進一步檢查。進一步的說明假設如下：

1、腳本(store-syslog.py) 放在C:Scripts 文件夾中

2、日志文件寫入C:Scriptslogs 文件夾

創(chuàng)建這兩個文件夾，或更改以下說明中的相應路徑。注意：重要的是 SYSTEM 帳戶可以創(chuàng)建文件并寫入C:Scriptslogs 文件夾。

從上述存檔中解壓store-syslog.py 腳本（1391字節(jié)）并將其放入C:Scripts 文件夾中。

創(chuàng)建警報和警報規(guī)則以處理Syslog 事件

啟動IPHost GUI 客戶端并打開一個新的警報編輯器（“設置> 警報”，單擊“新建”）：

單擊“新建> 新建簡單操作> 執(zhí)行Python 腳本”。

輸入新的Python 腳本字段，如下所示：

解釋：

路徑：是放置腳本的地方（它必須是 SYSTEM帳戶可讀的）。

參數(shù)：參數(shù)中唯一的字符串是應在其中創(chuàng)建日志的文件夾名稱。請確保最后有反斜杠（‘’）。

輸入數(shù)據(jù)：輸入兩個字符串，每個字符串換行：

（在每行后按“Enter”）。在調用腳本之前，“$EventDetails”變量將擴展為接收到的實際系統(tǒng)日志數(shù)據(jù)。

單擊“確定”。

創(chuàng)建新的警報規(guī)則（“設置> 警報規(guī)則> 新建”）。填寫以下字段：

（即，僅使用“事件警報”，其他保留為“不報告”）

單擊“確定”。

分配警報規(guī)則并測試腳本

選擇一個系統(tǒng)日志監(jiān)視器，打開其“警報”選項卡并分配新創(chuàng)建的“保存系統(tǒng)日志數(shù)據(jù)”警報規(guī)則：

單擊“保存”。

啟動Syslog 監(jiān)視器（或停止并啟動它）。如果一切設置正確，將在日志文件夾（上例中的C:Scriptslogs）中創(chuàng)建新的日志文件，名為“IPaddress.syslog.txt”，其中“IPAddress”是計算機的數(shù)字IP 地址發(fā)送 Syslog 事件的主機。

例如，如果主機IP 是10.20.30.40，那么日志文件將被命名為

上面的文件將包含如下所示的條目：

如果您只需要上述部分字段，請根據(jù)需要隨意編輯store-syslog.py。

注意：請將Syslog 監(jiān)視器更改為僅向您發(fā)送所需數(shù)據(jù)（默認設置接受所有可能的數(shù)據(jù)）?，F(xiàn)實生活中的網(wǎng)絡設備每秒可以輕松發(fā)送數(shù)十個事件——確保您的IPHost 安裝有足夠的資源來處理系統(tǒng)日志事件流。

注意：如果您正在調試Syslog 監(jiān)視器（以防獲取所需事件時出現(xiàn)問題），您還可以考慮在不同于SYSTEM（默認）的帳戶下運行IPHost 監(jiān)視服務，以防您需要帳戶真實的用戶檔案。

審核編輯 ：李倩