Nxlog 配置总结

nxlog是事件驱动的多线程App。nxlog内核只负责配置文件解析/文件和Socket监控/内部事件管理，任携则拿何module可以dispatch事件到内核。内核会有选择性分发到对应处理module。

用include引入其他地方的配置，对实际功能无影响。与Apache配置类似，不研究

用这个定义一些宏，对实际功能无影响。与C的宏类似，不研究

内置的一些指令

一个ConfigBlock如下

顶级ConfigBlock可以分为四种， Input, Processor, Output and Extension tags. ConfigBlock必须由上面四个类型+命名。命名规则 [a-zA-Z0-9_-] 。有一些通用Block可以在多种类型辩搭的模块中使用。以下列举一些。

类似perl语法，出错可能丢消息。复杂的处理程序可以通过盯派自己编写一个module或者xm_perl模块来实现。 语言是强类型的，不支持Dict，正则只支持=~ 和!~。明确定义以下 "boolean", "integer", "string", "datetime", "ip4addr", "ip6addr", "regexp", "binary".这几种类型。自己有类型推导。同时函数支持多态。

主要分为四种模块 Extension, Input, Processor, Output

Nxlog中在Input中有4个内置值 $raw_event, $EventReceivedTime, $SourceModuleName, $SourceModuleType

我们只有一种方式，就是写tcpout写到logstash里面

Evtsys这个软件很小的才几百KB，我们可以在http://code.google.com/p/eventlog-to-syslog/，下载到最新版本的程序。该程序有32和64bit之分，所以在下载时，请选择自己所需要的对应版本。

下载完毕解压后，我们只需把evtsys.exe、evtsys.dll，这两个问题复制到Windowssystem32目录下。

然后我们在CMD模式下，执行如下命令即可。

evtsys.exe -i -h 192.168.1.101 -p 514

这个是标准格式，亦可精简为：evtsys -i -h 192.168.75.129

参数说明首漏：

i是安装成Window服务；h是syslog服务器地址；p是syslog服务器的接收端口。默认下，端口可以省略，默认是514。

Evtsys安装完毕后，我们就来启动Evtsys服务，命令是：net start evtsys。此时查看Windows的“顷芹悔服务”，发现服务下面雀正增加了一个“Eventlog to Syslog”，并且已经启动。如下图：

Evtsys安装完毕后，我们就可以进行相关的实验了。我们现在syslog的服务器A（主机名XP-201308302208）是IP192.168.75.129，也就是刚刚我们安装evtsys所填写的服务器地址。然后我们使用另外一款软件SyslogWatcher来接收Evtsys所发送的相关日志信息。所有这些软件的下载地址，我会在文章末尾附上的下载地址。

启动SyslogWatcher看看实际的效果。

我们以本机的一个服务UPUPW_Nginx为例，我们现在重启该服务。

可以看到SyslogWatcher已经捕获了Evtsys发送过来的syslog日志信息。

这个是我们在本机测试的，那么我们现在看看如何捕获另外一台机器B（主机名USER-ELV81G3BJ0）上的syslog日志。

Nxlog可以在http://sourceforge.net/projects/nxlog-ce/files/下载。这款软件无论是在32还是64bit系统上，都可以安装的。

Nxlog安装完毕后，如下图：

现在我们来配置nxlog，打开nxlog安装目录下的conf文件夹找到nxlog.conf，如下图：

Nxlog.Conf文件的内容如下：

## This is a sample configuration file. See the nxlog reference manual about the

## configuration options. It should be installed locally and is also available

## online at http://nxlog.org/nxlog-docs/en/nxlog-reference-manual.html

## Please set the ROOT to the folder your nxlog was installed into,

## otherwise it will not start.

#define ROOT C:Program Filesxlog

define ROOT C:Program Files (x86)xlog

Moduledir %ROOT%modules

CacheDir %ROOT%data

Pidfile %ROOT%dataxlog.pid

SpoolDir %ROOT%data

LogFile %ROOT%dataxlog.log

Module im_msvistalog

# For windows 2003 and earlier use the following:

# Module im_mseventlog

Module om_tcp

Host 192.168.75.129

Port 514

Path in =>out

如果你安装的目录和实际的目录有出入的话，我们可以通过：

define ROOT C:Program Files (x86)xlog

这条语句来定义。这个我就不解释了，一看你就知道的。接下来我们是需要修改的是nxlog要把syslog发送到的syslog服务器地址及所使用的协议。

Module om_udp

Host 192.168.75.129

Port 514

我们只需把上面这条语句替换即可。配置文件修改完毕后，我们就来启动nxlog。

---