Windows dispose de son propre système de gestion de logs. Toutefois, à partir du moment où on met en place une centralisation, il est judicieux de pouvoir récupérer les logs windows également.
Il existe plusieurs logiciels, certains payants, d'autres gratuits, plus ou moins fonctionnels. Parmi les quelques produits que j'ai testés, EventToSyslog répond globalement à mes attentes. C'est un produit OpenSource, simple, qui sait envoyer les messages à un serveur Syslog distant.
Téléchargez le logiciel depuis le site : http://code.google.com/p/eventlog-to-syslog/
Il existe une version 32 bits et 64 bits.
Décompressez l'archive, et recopiez les deux fichiers (evtsys.dll et evtsys.exe) dans c:\program files\system32
Le programme ne fonctionne qu'en UDP (les tests réalisés en TCP n'ont pas été concluants). Pour installer le service, ouvrez une console Windows, puis :
cd \windows\system32
evtsys.exe -i -h serveurlog
net start evtsys
Dans le commutateur -h, vous pouvez indiquer soit le nom DNS du serveur, soit son adresse IP : le programme fera la conversion de l'adresse IP automatiquement.
À noter que si votre serveur de logs fonctionne en DHCP, il est possible de paramétrer le service pour qu'il recherche son adresse chaque fois qu'il en a besoin.
Au moment de l'installation du service, les clés suivantes sont créées dans la base de registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\ECN\EvtSys\3.0]
"Facility"=dword:00000003
"LogHost"="10.xx.xx.xx"
"LogHost2"=""
"LogHost3"=""
"LogHost4"=""
"Port"=dword:00000202
"StatusInterval"=dword:0000001e
"QueryDhcp"=dword:00000000
"LogLevel"=dword:00000000
"IncludeOnly"=dword:00000000
"Tag"=""
"MaxMessageSize"=dword:00001000
"EnableTcp"=dword:00000000
La facilité 3 correspond aux messages systèmes. Les valeurs de LogLevel sont les suivantes :
Type Pre-2k8 Vista/2k8+
CRITICAL N/A 1
ERROR 1 or 2 2
WARNING 3 3
INFORMATION 4 4
AUDIT/ALL 0 0
EventToSyslog présente actuellement quelques limitations :
Néanmoins, les traces restent également dans les serveurs d'origine : en cas de doute, on peut alors récupérer les journaux concernés.
4. Configurer Awstats depuis le serveur de logs Mettre en place un serveur central de logs avec RSYSLOG 6. Pour aller plus loin : surveiller les logs