借助 Kiwi Syslog Server，监控 Syslog 消息

如果您的网络使用 Syslog 协议向中央服务器发送日志消息，那么采用可靠的 Syslog 监控应该是您的一项优先任务。通过监控 Syslog 消息，您可以分析日志、识别网络上的异常动作、最大程度减少或防止停机，并加速排除网络事故，保持最佳网络性能。Syslog 消息监控可以简化安全审核和策略合规性，并为您的服务、设备和系统提供有价值的洞察。

但是，监控、收集和管理网络设备和服务器日志可能非常耗时且工作量很大。毕竟，在您网络上的服务器、路由器、防火墙和交换机每秒创建成千上万份日志，几乎不可能在没有专用工具的情况下监控日志。集中式服务器日志监控工具简化了日志监控和管理过程，节省您的时间和精力。集中式 Syslog 监控软件（如 Kiwi Syslog Server）旨在为您提供关于潜在安全威胁的洞察，让您能实时监控、收集和存档日志。

您可以通过定义规则和使用筛选器，在 Kiwi Syslog Server 中更高效地监控 Syslog 消息。这款强大的 Syslog 监控器提供了定义多达 100 条规则的功能（以及每条规则 100 个筛选器和 100 个操作），这样您就可以根据自己的标准和需求来处理并响应 Syslog 消息。Kiwi Syslog Server 提供快捷键，以便在处理您的规则、筛选器、操作和日程安排时，简化删除、插入、复制、粘贴、移动、重命名和自动命名操作。

规则会规定 Kiwi Syslog Server 如何处理传入的 Syslog 消息，包括哪种消息触发哪种操作。如果一条规则适用于一条日志消息，Kiwi Syslog Server 将从最上面开始，将消息与规则中的每个筛选器进行比对。如果任何筛选器条件为假 (false)，Kiwi Syslog Server 将停止处理这条规则并将下一条规则应用至该消息。但是，如果筛选器中的每个条件都为真 (true)，Kiwi Syslog Server 将在后续筛选器中重复这个过程。如果有一条消息通过了规则中的每个过滤器，Kiwi Syslog Server 将开始按顺序执行您的所有操作。完成第一条规则的所有筛选和操作后，Kiwi Syslog Server 将转到下一条规则，所以有必要按顺序应用规则。

您可以轻松地通过添加规则来确定收到一条消息后发生哪些操作。首先，请先选择“文件”，然后在 Kiwi Syslog Service Manager 中单击“设置”。然后在 Kiwi Syslog Server 对话框中单击“规则”和“添加规则”，向树状结构添加新规则。最后，重命名该规则，添加规则筛选器和规则操作，单击“确定”保存更改。创建规则后，您可以轻松导出该规则，通过在 Kiwi Syslog Service Manager 中依次选择“文件”和“设置”并右键单击规则，来与另一个 Kiwi Syslog Server 用户分享该规则。然后，选择“导出”规则，选择保存规则的位置，然后单击“保存”。

您可以设置筛选器，控制一条消息是否触发一个规则的操作。SolarWinds Kiwi Syslog Server 让您能够根据 IP 地址、优先级、当日时间、主机名、输入源、正则表达式和消息文本来筛选消息。在您创建了筛选器后，Kiwi Syslog Server 将按照所列顺序依次应用这些筛选器，但是如果您放弃筛选器，每条消息都将触发一个操作。

您可以配置 Kiwi Syslog Server，在一条消息通过一个规则的所有筛选器后执行一个特定操作。常规操作包括：

• 运行脚本或外部程序
• 发送 SMS 消息或电子邮件
• 将传入的消息记录到文件、Papertrail™、Loggly^®、或 Kiwi Server Web Access
• 发送 Syslog 消息或 SNMP 陷阱
• 暂停计数器和标记
• 播放声音
• 显示消息

您可以很轻松地配置支持 Syslog 的设备，开始向 Kiwi Syslog Server 发送消息以进行 Syslog 监控。首先，确保您的设备已启动消息记录功能。幸运的是，大多数能够生成 Syslog 消息的设备都会自动启动记录，但进行复查仍是一个好主意。然后，设置您的设备，使其向装有 Kiwi Syslog Server 的计算机上的端口（通常为端口 514）发送 Syslog 消息。

RFC 标准 5426 将端口 514 指定为 Syslog 消息的默认端口。默认情况下，Kiwi Syslog Server 将在端口 514 上侦听用户数据报协议 (UDP)。但是，如果这不适合您的需求，您可以轻松配置 Kiwi Syslog Server 的设置，以侦听传输控制协议 (TCP) 消息、安全 TCP 消息和简单网络管理协议 (SNMP)，而不是 UDP 消息。您可以配置 Kiwi Syslog Server，以在不同端口上侦听 UDP、TCP、安全 TCP 或 SNMP 消息。

要配置 UDP 输入选项，请依次单击“文件”和“设置”，打开 Kiwi Syslog Server Setup 对话框。然后，展开“输入”节点，单击 UDP，指定您想要用于侦听 UDP 消息的端口。如果传输 Syslog 消息的设备支持新的端口号，则介于 1 和 65535 之间的任何端口值均有效。对于大多数人而言，最好将“绑定到地址”字段留空，并允许您的 UDP 套接字侦听所有接口上的消息。但是，如果在“绑定到地址”字段中指定 IP 地址，您就可以将绑定关系限制到特定接口。您可以通过从下拉菜单中选择编码格式，或在“数据”编码部分下输入代码的页码，来确定将哪种解码方法应用到任何输入数据中。配置设置后，单击“应用”保存更改。

配置 TCP、安全 TCP 和 SNMP 陷阱输入选项同样十分简单。选择 TCP 或 SNMP，而不是单击“输入”节点下的 UDP。然后您可以配置设置。例如，TCP Syslog 消息的默认端口是 1468，但您可以选择一个不同的端口号。与 UDP 消息一样，您可以更改“绑定到地址”字段和数据编码格式。然后，指定您的消息定界符（也称为分隔符），它表示哪个字符或字符序列将 TCP 流拆分为单独的 Syslog 消息。

作为一名网络或系统工程师，您想要使用 Syslog 管理工具收集并监控网络设备中的 Syslog 消息。Kiwi Syslog Server 可以收集 Syslog 数据，不限设备数量，以便您轻松监控所有交换机、防火墙和路由器。

除监控 Syslog 消息外，Kiwi Syslog Server 还可以收集 Unix、Linux、和 Windows 系统的简单网络管理协议 (SNMP) 陷阱，让您能在一个集中的位置查看整个 IT 架构中的必要信息。

在世界任何有网络的地方，您都可以借助用户友好型 Syslog Viewer Web 控制台实时查看数据。Kiwi Syslog Server 的 Web 控制台有 25 个可自定义视图和 Syslog 统计图表，这样您就可以快速了解网络或设备性能问题并进行故障排除。您可以通过主机 IP 地址、优先级、主机名或当日时间筛选 Syslog 消息，以找到关键消息。

除简单收集和监控 Syslog 消息、SNMP 陷阱和 Windows 事件日志外，Kiwi Syslog Server 还可以借助其内置操作响应 Syslog 消息。

其他 Kiwi Syslog Server 优势包括：

• 将 Syslog 消息存档到磁盘、文件或 ODBC 合规性数据库中
• 转发消息至其他 SolarWinds IT 管理工具，如 Loggly、Papertrail、Security Event Manager (SEM)、和 Network Performance Monitor (NPM)
• 由于 Kiwi Syslog Server 具有高级消息缓冲功能，因此可以使您的收件箱始终清爽简洁
• 通过存储、存档以及清理日志，帮助您证明自己符合 SOX、PCI-DSS 和 HIPAA