유닉스, 리눅스, 네트워크 장비, 보안장비 로그는 대부분의 경우 syslog 수집이 가능하지만, Windows NT는 evtx 파일로 시스템 로그가 쌓인다. 윈도우끼리라면 WinRM을 이용한 이벤트 구독으로 모으는 방법도 있겠지만, 그러자니 syslog 따로 윈도우 따로 관리해야 하는 번거로움이 생긴다. 이 때 사용할 수 있는 것이 오픈소스 'eventlog to syslog'다.
code.google.com/archive/p/eventlog-to-syslog/
Google Code Archive - Long-term storage for Google Code Project Hosting.
code.google.com
위 링크에서 다운로드 후 압축을 풀어보면 실행파일과 문서가 있다.
실행파일을 윈도우의 적당한 경로에 올리고, 명령 프롬프트에서 서비스를 등록할 때 실행파일 경로를 잘 찾을 수 있도록 시스템 환경변수를 등록해준다.
관리자권한의 커맨드창에서 하기 명령어를 입력하면, 성공메시지와 함께 eventlog to syslog 서비스가 등록된다. 단순히 서비스에 등록하는 과정이기 때문에, IP를 잘못 등록했다면 sc delete 명령어로 삭제하고 다시 하면 된다.
evtsys -i -h (로그서버 IP)
서비스에 등록된 것을 확인하고, 구동해준다.
로그서버를 확인해 보면 /var/log/remote 경로 밑에 윈도우 호스트네임으로 디렉토리가 생성된 것을 볼 수 있다.
'Computer Science > Project' 카테고리의 다른 글
| 로그서버 구축1 # CentOS7에 rsyslog 구축하기 (0) | 2021.04.23 |
|---|