使用evtsys收集windows日志

　Windows操作系统本身是可以产生很多日志的，如每次插拔U盘、服务的重启等，都会产生日志，这些信息会记录在操作系统中，如果我们想集中管理，怎么办？Windows操作系统本身并不支持把日志发送到SYSLOG服务器去，但是我们就没办法了？

我们采用evtsys收集windows日志。基本思路是使用evtsys把windows日志转换为syslog格式，然后发送到日志服务器

前提条件

1.确认windows主机与日志服务器路由可达
2.确认主机udp协议的514端口没有被占用或屏蔽

安装配置

1.将程序解压，放在c:\Windows\System32目录下，包含"evtsys.exe"和"evtsys.dll"

2.使用管理身份运行cmd，敲入命令 evtsys.exe -i -h 172.31.101.12 -p 514,

　参数说明：
　　i是安装成Window服务；
　　h是syslog服务器地址；
　　p是syslog服务器的接收端口。
　　默认下，端口可以省略，默认是514.

3.启动服务，net start evtsys

验证效果

在日志服务器上查看收集到日志

注意事项

因为syslog协议很简单，不能直接查询到日志来源的详细信息，所以需要对windows主机的主机名做统一规划，免得重名或查询不到对应主机