Kiwi_Syslog日志服务器运行和基本配置教程

软件版本：日志服务器 Kiwi_Syslogd_9.6.1破解版
Kiwi_Syslogd 默认使用UDP 514端口接收日志数据，安装成功后即可接收日志
使用命令netstat –ano 查看服务器监听状态，如果服务没起来，则重新启动服务Kiwi Syslog Daemon

基本配置
任务需求：收集来自防火墙路由器 192.168.0.1的日志

1.1、新建规则，点击左上角的File>>Setup



1.2、设置要获取的日志（防火墙、路由器等网络设备）IP地址。
右点击Default ，选择“Rename rule“，更名为DCN（神州数码防火墙）。

再点击左侧 Filter （过滤器），新建 Add filter，收集来自 192.168.100.1 的日志，取名为 IP，右上角 Field 下拉选项选择“ IP address”， Field Type下拉选项选“IPv4 Mask”，然后再填写要获取的日志IP地址。



或者在 Field Type下拉选项选“IPv4 Range”，然后再填写要获取的日志IP地址范围。

1.3、设置默认日志显示屏幕

点击左侧 Display，右上角 Action 下拉选项选择“ Display”，设置默认日志显示屏幕。

1.4、设置日志文件的存放位置以及存放格式。

点击左侧 Log to file，右上角 Action 下拉选项选择“  Log to file”，设置日志文件的存放位置以及存放格式。

kiwi  syslog软件收集的SNMP数据默认的保存方式是：以日期时间为序，在一个文件中保存所有设备的日志，每小时生成一个文件。这样的保存方式是很不利于查询各设备的log信息的，所以在比较新的版本中增加了以设备IP地址分开保存的方式，但软件上的设置选项并未明确提示，所以一般很容易忽略掉。应在log to files的选项卡中的保存路径和文件名选项中手工键入，如：\syslog_%IPAdd4.txt

关于“LOG FILE Rotation”，这个是日志循环保存设置，下图为保存以100MB大少的12份日志文件，不断循环覆盖，这较为自动化，不用手动删除旧日志。

1.5、设置日志文字编码，解决中文利码问题。

点击左侧的Inputs>>UDP，端口号514不变，修改Date encoding的值为Utf-8防止部分带有汉字的日志为乱码。

1.6、如果需要再添加一个收集来自192.168.0.5的日志，再右键点击Rules ，新建 Add Rule，其它子项设置与上面相同。

1.7、最后apply，点击OK 结束安装。
------------------------------------------------------------------------------------------------------
关于Rule、Filter、Action的含义
Kiwi Syslog通过Rule来对日志文件进行处理，每一条Rule规则里，包含两个必要的元素
Filters （过滤器）
Actions（执行动作）

举例，我们定义，收到的日志中
过滤器，主机名字段包含“10.0.20.250”的日志条目
执行动作：显示在Display-01区域和转发给另外一台审计服务器


可选的动作类型非常多，可以灵活的与其他各种平台对接。

验证：在Display-01日志空间里看到了来自10.0.20.250主机的日志