1 UNIX主机1.1 Solaris通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err &nbs p; @IP @IP@IP为采集机地址4．用下面的命令重启syslog服务Ø 对于Solaris8,9/etc/init.d/syslog stop/etc/init.d/syslog startØ 对于Solaris10Svcadm restart system-log1.2 HP-UX通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP @IP@IP为采集机地址下面的命令停止syslog服务ps –ef|grep syslogdkill PID5．下面的命令启动syslog服务/usr/sbin/syslogd -D1.3 AIX通过Unix系统的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1．提供Unix系统的IP地址2．提供Unix系统的主机名称3．在Unix系统/etc/syslog.conf文件最后追加以下2行*.err @IP (中间以Tab健分割) @IP (中间以Tab健分割)注：@IP为采集机地址5．用下面的命令停止syslog服务stopsrc -s syslogd6．用下面的命令启动syslog服务startsrc -s syslogd2 Windows主机由于Windows系统自身不具备日志转发功能，所以对Windows事件采集，需要在被管设备中安装一个Agent采集程序，完成对windows系统事件的采集。

具体配置方法如下：1、将evtsys.zip中的两个文件（evtsys.exe和evtsys.dll）展开到Windows系统system32目录下2、然后运行下面的命令安装服务：evtsys -i -h IP -p 514-h为syslog 服务器地址-p为syslog服务器端口3、在系统服务面板中，将eventlog to syslog服务的启动类型设定改为自动并启动该服务。

3网络设备3.1 Cisco路由器通过Cisco路由器的Syslog服务转发系统日志到采集服务器，具体配置方法如下：device#conf tdevice(config)#logging ondevice(config)#logging IP //日志服务器的IP地址device(config)#logging trap critical //日志记录级别，可用"?"查看详细内容device(config)#logging source-interface e0 //日志发出用的源IP地址（e0为发出日志的端口，使用哪个端口由实际情况决定）device(config)#service timestamps log datetime localtime //日志记录的时间戳设置检验device#sh logging保存配置device#copy runningconfigure startingconfigure3.2 Radware路由器通过Radware路由器的Syslog服务转发系统日志到采集服务器，具体配置方法如下：1. Access the Device Access tab in the Management Preferences window.2. In the SysLog Reporting area, enter the IP address of the device running the syslog service (syslog) in the Syslog Station Address field.3. Select the Syslog Operation checkbox to enable syslog reporting.Click Apply to implement your changes and OK to close the window.3.3 Cisco交换机通过Cisco路由器的Syslog服务转发系统日志到采集服务器，具体配置方法如下：device#conf tdevice(config)#logging ondevice(config)#logging IP //日志服务器的IP地址device(config)#logging trap critical //日志记录级别，可用"?"查看详细内容device(config)#logging source-interface f0/1 //日志发出用的源IP地址(f0/1为发出日志的端口，使用哪个端口由实际情况决定)device(config)#service timestamps log datetime localtime //日志记录的时间戳设置检验device#sh logging保存配置device#copy runningconfigure startingconfigure4 TMCM通过在采集服务器上部署趋势防病毒采集脚本，采集趋势防病毒日志，具体配置方法如下：1．在TMCM数据库中开设一个数据库访问帐号trendvirus_coll，密码与账号相同；2．设置权限，使得trendvirus_coll用户可以访问tb_ AVVirusLog、tb_entityinfo；5 RSA ACE Server通过在采集服务器上开启Syslog服务，收集RSA ACE的日志，具体配置方法如下：1．Click Start > Programs > ACE/Server > Database Administration；2．在管理界面上 click Log > Log to System Log.（确保Log to System Log.选项前面打上勾“√”）；3．将evtsys.exe和evtsys.dll拷贝到RSA ACE所在的Windows主机的system32目录下；4．Regsvr32 evtsys.dll；5．Evtsys –i –h ip –p 514；6．确认该服务已经启动，且处于自动状态；注：IP为采集机的地址6 绿盟NIDS通过在采集服务器上运行Snmptrapmanager.bat，接收NIDS通过SNMP 发过来的事件，具体配置方法如下：1．在NIDS端打开SNMP功能，并将发送的地址指向采集机；7 Cisco Firewall通过在采集服务器上开启Syslog服务收集Cisco Pix的日志，具体配置方法如下：1．device#conf t2．device(config)#logging on3．device(config)#logging IP //集服务器的IP地址4．device(config)#logging trap critical //日志记录级别，可用"?"查看详细内容5．device(config)#logging source-interface e0 //日志发出用的源IP地址6．device(config)#service timestamps log datetime localtime //日志记录的时间戳设置7．device#sh logging //检验设置注：根据实际情况IP取业务系统采集机地址8 Netscreen Firewall通过在采集服务器上开启Syslog服务，收集Netscreen Firewall的日志，具体配置方法如下：1．set syslog config IP local4 local42．set syslog traffic3．set syslog enable4．set log module system level critical destination syslog5．save注：根据实际情况IP取业务系统采集机地址9 CheckPoint Firewall部署在网络内的checkpoint防火墙是由其manager组件统一管理的，Manger模块负责定义所管理的防火墙的策略，并记录个防火墙产生的各种事件。

即一个Manager可以管理一组防火墙，同时其Manger主机支持opsec协议，可以把记录的日志转发给授权的opsec客户端系统。

具体配置方法如下： 管理端配置步骤1．在Checkpoint Manager组件上增加一条规则到当前的防火墙上，允许Agent所在的采集机和checkpoint防火墙的Manager主机建立LEA连接；SOURCE DESTINATION SERVICEACTIONTRACK INSTAL L ON TIME COMMENTWizard Firewall LEA ACCELONG GATEWAYS ANY CommentsPT•Source: 采集机IP地址：IP，这台主机需要通过OPSEC API和防火墙的Manager建立连接，和接收防火墙信息/告警•Destination:防火墙的管理主机•Service:FW1_lea•Action: Accept•Track: Log2．进入防火墙管理主机$FWDIR/conf目录，修改fwopsec.conf文件，在文件中增加以下内容：#LEA CONF CLEAR: (1 or NG FW)lea_server auth_port 0lea_server port 181843．在命令行状态下输入：fwstop/fwstart，重新启动checkpoint防火墙；4．将Checkpoint Agent拷贝到采集机%WORKBENCH_HOME%/elements/checkpoint目录下；采集端配置步骤5．编辑lea_client.conf文件，增加以下内容：lea_server ip <opsec服务器地址>lea_server port 181846．在%WORKBENCH_HOME%/elements 目录下，执行checkpoint\lea_client checkpoint\lea_client.conf –new命令，检查是否可以收到防火墙的事件，如果有则配置成功，否则检查前面的步骤；7．Agent Port参数如下：Port Name Cp_opsec (名称可以随意，主要是标示作用)Rx/Tx Type Persistent ProcessRx/Tx Value checkpoint/\lea_client checkpoint/\lea_client.conf -new AgentT1_CHKP_FRW1_xxxx_OPSC_Bv41010 LinkTrust Firewall通过在采集服务器上开启Syslog服务，收集LinkTrust Firewall的日志，具体配置方法如下：1．https://防火墙地址:9898；2．登录防火墙WEB配置界面（缺省的用户名/密码为：admin/admin12）；3．点击日志页面，进入日志设置栏目，选中配置SYSLOG；4．在Syslog主机之一右面的框中，输入采集服务器的IP地址；5．进入日志策略栏目，点击新增日志策略按钮，新增一条日志策略；6．添加全部模块，选中emergency、alert、critical、error、warnning等五个级别，在目的地中选中sylog，确认该条策略；7．进入保存栏目，保存该条策略，保存后再应用该条策略；11 LinkTrust IDSNIDS 7.2入侵检测设备支持外部应用程序接口Syslog，可以把记录的事件日志转发给采集机，具体配置方法如下：1．使用用户帐号登陆系统，该帐号需要具备查看告警事件的权限；2．使用新建立的帐号，设置告警事件转发到事件采集服务器；。