如何在Ubuntu中模拟Windows事件日志记录？

Question

假设您拥有一个以Windows为主导的企业环境，并且您需要集成许多Ubuntu服务器，同时尽可能少引入用于跨平台方式管理日志的新企业工具。因此，在那些Ubuntu服务器上会出现Ubuntu系统日志、各种应用程序日志等，您希望这些服务器就像Windows服务器中的事件一样(而不是使用单独的日志聚合/查看/管理工具)。

有没有一种方法来模拟Ubuntu中的Windows事件日志记录？例如，Samba或其他东西能否向运行在单独Windows环境中的Server等提供事件日志？

Answer 1

这方面有两种选择：

1)编写自己的小windows服务，该服务接受linux日志，并使用windows syslog事件设施/系统调用将每个条目写入相应的windows日志。这实际上只需要几个小时就可以编写代码。

Linux /ksyslog支持一个开放协议，以方便集中日志记录，所以您所要做的就是为您的服务实现一小块日志，而您的linux盒将将它们的日志发送到您的windows服务。您还可以使用其他机制，例如在linux框上挂载包含/var/log的samba共享，然后在日志进入时读取它们，但是延迟可能会成为一个问题。

2)您可以使用像splunk或logstash这样的企业工具。

我知道您说过不想添加很多外部工具，但是无论您使用选项1还是选项2，都需要添加至少一个工具。

Answer 2

正如@二进制文件所提到的，Linux正在使用syslog来集中日志记录。您可以使用syslog服务器的Windows实现将日志发送到事件记录器，如服务器商业版。