日志服务器怎么接收

‘壹’ 如何使用ACE的日志系统

不当之处恳请大家指正。1. 输出到stderrACE输出的默认方式，将日志输出到控制台。如果希望从其他的重定向方式切换到stderr，可以采用如下的方式。1 ACE_LOG_MSG->open (0, ACE_Log_Msg::STDERR); 2 ACE_DEBUG ((LM_INFO, ACE_TEXT ("Hello ACE Stderr Log\n")));或者1 ACE_LOG_MSG->clr_flags(ACE_Log_Msg::OSTREAM | ACE_Log_Msg::LOGGER); 2 ACE_LOG_MSG->set_flags (ACE_Log_Msg::STDERR); 3 ACE_DEBUG ((LM_INFO, ACE_TEXT ("Hello ACE Stderr Log\n")));输出结果： 2. 输出到系统日志1 ACE_LOG_MSG->open (0, ACE_Log_Msg::SYSLOG, "SysLog"); 2 ACE_DEBUG ((LM_INFO, ACE_TEXT ("Hello ACE Sys Log\n")));输出到系统日志不能通过set_flags(ACE_Log_Msg::SYSLOG)实现，原因是输出到系统日志需要ACE_LOG_MSG->open方法去做一些初始化的工作。同时，clr_flags方法同样不能阻止将日志输出到系统中日志中去，正确的做法是使用ACE_LOG_MSG->open方法将日志重定向到其他地方。3. 输出到文件1 ACE_OSTREAM_TYPE *output = new std::ofstream ("logfile.txt"); 2 ACE_LOG_MSG->msg_ostream (output, 1); 3 ACE_LOG_MSG->set_flags (ACE_Log_Msg::OSTREAM); 4 ACE_LOG_MSG->clr_flags (ACE_Log_Msg::STDERR | ACE_Log_Msg::LOGGER); 5 ACE_DEBUG ((LM_INFO, ACE_TEXT ("Hello ACE file Log\n"))); 输出结果：4. 输出到分布式的日志服务器基于netsvc日志的CS构架，日志服务器用来接收其他服务器发送的日志请求。 A. 配置并启动日志服务器 i. 配置文件server.conf的内容如下 1 dynamic Logger Service_Object * ACE:_make_ACE_Logging_Strategy() "-s foobar -f STDERR|OSTREAM|VERBOSE"2 dynamic Server_Logging_Service Service_Object * netsvcs:_make_ACE_Server_Logging_Acceptor() active "-p 20009" 第一行定义了logging strategy，将更详尽的(Verbose)日志输出到foobar文件和stderr中。

B. 配置并启动客户端代理服务器 i. 配置文件client.conf的内容如下dynamic Client_Logging_Service Service_Object * netsvcs:_make_ACE_Client_Logging_Acceptor() active "-p 20009 -h localhost" 配置文件告诉client proxy server日志服务器的主机名(-h)及其所监听的端口号(-p) ii. 启动client proxy serverACE_wrappers\netsvcs\servers\ace_netsvcs.exe -f clinet.conf client proxy输出结果： logging server输出结果： C. 将日志重定向到日志服务器1 ACE_LOG_MSG->open (prog_name, ACE_Log_Msg::LOGGER, ACE_DEFAULT_LOGGER_KEY); 2 ACE_DEBUG ((LM_INFO, ACE_TEXT ("Hello ACE daemon Log\n"))); ACE_DEFAULT_LOGGER_KEY是client proxy server的默认地址及其监听端口(localhost:20012)，这个值可以在client.conf中进行配置 (通过-k参数) client proxy输出结果： logging server输出结果： logging server文件输出结果： 5. 使用callback在运行时修改log信息Log信息可以通过callback的机制在运行时进行修改 A. 从ACE_Log_Msg_Callback类继承一个子类，并重写log方法 class MyCallback : public ACE_Log_Msg_Callback { public: void log (ACE_Log_Record &log_record); }; void MyCallback::log(ACE_Log_Record &log_record) { cerr << "Log Message Received:" << endl; unsigned long msg_severity = log_record.type(); ACE_Log_Priority prio = static_cast<ACE_Log_Priority>(msg_severity); const ACE_TCHAR *prio_name = ACE_Log_Record::priority_name (prio); cerr << "\tType: "<< ACE_TEXT_ALWAYS_CHAR (prio_name)<< endl; cerr << "\tLength:" << log_record.length () << endl; const time_t epoch = log_record.time_stamp ().sec (); cerr << "\tTime_Stamp: "<< ACE_TEXT_ALWAYS_CHAR (ACE_OS::ctime (&epoch))<< flush; cerr << "\tPid: " << log_record.pid () << endl; ACE_CString data (">> "); data += ACE_TEXT_ALWAYS_CHAR (log_record.msg_data ()); cerr << "\tMsgData: " << data.c_str () << endl; } B. 创建该子类的一个对象

‘贰’ 如何配置日志服务器来接收系统日志

在运行中输入（services.msc）回车，会看到本地服务的框线，tab一次就是列表： 01.显示名称：alerter ◎进程名称：svchost.exe -k LocalService ◎微软描述：通知所选用户和计算机有关系统管理级警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。 ◎补充描述：警报器。该服务进程名为Services.exe，一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrativealerts)，除非你的计算机用在局域网络上。 ◎默认：禁用 建议：禁用 02.显示名称：Application Layer Gateway Service ◎进程名称：alg.exe -k Local Service ◎微软描述：为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。 ◎补充描述：XP SP2自带的防火墙，如果不用可以关掉。 ◎默认：手动（已启动） 建议：禁用 03.显示名称：Application Management ◎进程名称：svchost.exe -k netsvcs ◎微软描述：提供软件安装服务，诸如分派，发行以及删除。 ◎ 补充描述：应用程序管理。从Windows2000开始引入的一种基于msi文件格式的全新有效软件管理方案:程序管理组件服务。该服务不仅可以管理软件的安装、删除，还可以使用此服务修改、修复现有应用程序，监视文件复原并通过复原排除基本故障等，软件安装变更的服务。 ◎默认：手动 建议：手动 04.显示名称：Automatic Updates ◎进程名称：svchost.exe -k netsvcs ◎微软描述：允许下载并安装 Windows 更新。如果此服务被禁用，计算机将不能使用 Windows Update 网站的自动更新功能。 ◎补充描述：自动更新，手动就行，需要的时候打开，没必要随时开着。 不过2005年4月12日以后微软将对没有安装SP2的WindowsXP操作系统强制安装系统补丁SP2。 ◎默认：自动 建议：手动 05.显示名称：Background Intelligent Transfer Service ◎进程名称：svchost.exe -k netsvcs ◎微软描述：在后台传输客户端和服务器之间的数据。如果禁用了 BITS，一些功能，如 Windows Update，就无法正常运行。 ◎补充描述：经由HTTP1.1在背景传输资料的东西，例如 Windows Update 就是以此为工作之一。这个服务原是用来实现http1.1服务器之间的信息传输，微软称支持windows更新时断点续传。 ◎默认：手动 建议：手动 06.显示名称：ClipBook ◎进程名称：clipsrv.exe ◎微软描述：启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止，“剪贴簿查看器” 将无法与远程计算机共享信息。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：剪贴簿。把剪贴簿内的信息和其它台计算机分享，一般家用计算机根本用不到。 ◎默认：禁用 建议：禁用 07.显示名称：COM+ Event System ◎进程名称：svchost.exe -k netsvcs ◎微软描述：支持系统事件通知服务(SENS)，此服务为订阅组件对象模型(COM) 组件事件提供自动分布功能。如果停止此服务，SENS 将关闭，而且不能提供登录和注销通知。如果禁用此服务，显式依赖此服务的其他服务将无法启动。 ◎补充描述：COM+ 事件系统。有些程序可能用到 COM+ 组件，如自己的系统优化工具BootVis。检查系统盘的目录“C:\Program Files\ComPlus Applications”，没东西可以把这个服务关闭。 ◎默认：手动（已启动） 建议：手动 08.显示名称：COM+ System Application ◎进程名称：dllhost.exe /Processid: ◎微软描述：管理 基于COM+ 组件的配置和跟踪。如果服务停止，大多数基于COM+ 组件将不能正常工作。如果本服务被禁用，任何明确依赖它的服务都将不能启动。 ◎ 补充描述：如果 COM+ Event System 是一台车，那么 COM+ SystemApplication 就是司机，如事件检视器内显示的 DCOM 没有启用，则会导致一些 COM+软件无法正常运行。检查系统盘的目录“C:\Program Files\ComPlus Applications”，没东西可以把这个服务关闭。 ◎默认：手动 建议：手动 09.显示名称：Computer Browser ◎进程名称：svchost.exe -k netsvcs ◎微软描述：维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 ◎补充描述：计算机浏览器。一般家庭用计算机不需要，除非你的计算机应用在局域网之上。 ◎默认：自动 建议：手动 10.显示名称：Cryptographic Services ◎进程名称：svchost.exe -k netsvcs ◎ 微软描述：提供三种管理服务: 编录数据库服务，它确定 Windows 文件的签字; 受保护的根服务，它从此计算机添加和删除受信根证书机构的证书;和密钥(Key)服务，它帮助注册此计算机获取证书。如果此服务被终止，这些管理服务将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证服务，例如你使用 Automatic Updates，升级驱动程序，你就会需要这个。 ◎默认：自动 建议：自动 11.显示名称：DCOM Server Process Launcher ◎进程名称：svchost -k DcomLaunch ◎微软描述：为 DCOM 服务提供加载功能。 ◎补充描述：SP2新增的服务，DCOM（分布式组件对象模式），关闭这个服务会造成很多手动服务无法在需要的时候自动启动，很麻烦。 关闭这个服务还有以下现象：比如一些软件无法正常安装，flashmx ,还有些打印机的驱动无法安装，都提示错误“RPC服务器不可用”。 ◎默认：自动 建议：自动 12.显示名称：DHCP Client ◎进程名称：svchost.exe -k netsvcs ◎微软描述：通过注册和更改 IP 地址以及 DNS 名称来管理网络配置。 ◎补充描述：DHCP 客户端。没有固定IP的的用户还是开着吧，否则上不了网，特别是小区光纤用户。 ◎默认：自动 建议：手动 13.显示名称：Distributed Link Tracking Client ◎进程名称：svchost.exe -k netsvcs ◎微软描述：在计算机内 NTFS 文件之间保持链接或在网络域中的计算机之间保持链接。 ◎补充描述：分布式连结追踪客户端。用于局域网更新连接信息，比如在电脑A有个文件，在B做了个连接，如果文件移动了，这个服务将会更新信息。对于绝大多数用户来说，形同虚设，可以关闭，特殊用户除外。占用4兆内存。 ◎默认：自动 建议：手动 14.显示名称：Distributed Transaction Coordinator ◎进程名称：msdtc.exe ◎微软描述：协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务，则不会发生这些事务。如果禁用此服务，显式依赖此服务的其他服务将无法启动。 ◎补充描述：分布式交换协调器。一般家庭用计算机用不太到，除非你启用的Message Queuing。 ◎默认：手动 建议：手动 15.显示名称：DNS Client ◎进程名称：svchost.exe -k NetworkService ◎微软描述：为此计算机解析和缓冲域名系统 (DNS) 名称。如果此服务被停止，计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用，任何明确依赖它的服务将不能启动。 ◎补充描述：DNS 客户端。另外IPSEC需要用到。DNS解析服务。事实上，一个网站并不是只有一台服务器在工作，基于安全性考虑，停止。 ◎默认：自动 建议：自动 16.显示名称：Error Reporting Service ◎进程名称：svchost.exe -k netsvcs ◎微软描述：服务和应用程序在非标准环境下运行时允许错误报告。 ◎补充描述：微软的应用程序错误报告服务，对于大多数用户来说也没什么用处。这个服务每当在在使用微软的软件时如果发生了错误，系统会自动将错误代码作为一个备份文件，并且询问你是否要把文件发送至微软以寻求帮助？由于普通用户与微软总部联系的机会实在是很少. ◎默认：自动 建议：禁用 17.显示名称：Event Log ◎进程名称：services.exe ◎微软描述：启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。 ◎补充描述：事件查看器。允许事件讯息显示在事件检视器之上。 ◎默认：自动 建议：自动 18.显示名称：Fast User Switching Compatibility ◎进程名称：svchost.exe -k netsvcs ◎微软描述：为在多用户下需要协助的应用程序提供管理。 ◎补充描述：另外像是注销画面中的切换使用者功能，一般建议采用默认手动，否则可能很多功能实现。如果你基于安全性考虑，并且不使用多用户环境，可以停止。 ◎默认：手动（已启动） 建议：手动 19.显示名称：Help and Support ◎进程名称：svchost.exe -k netsvcs ◎微软描述：启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。 ◎补充描述：如果不使用就关了吧，现实中证明没有多少人需要它，除非有特别需求，否则建议停用。 ◎默认：自动 建议：手动 20.显示名称：HTTP SSL ◎进程名称：svchost.exe -k HTTPFilter ◎微软描述：此服务通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：SP2新增的服务，默认就是手动，实际使用中也没见它启动过，就不要管它了！ ◎默认：手动 建议：手动 21.显示名称：Human Interface Device Access ◎进程名称：svchost.exe -k netsvcs ◎微软描述：启用对智能界面设备 (HID)的通用输入访问，它激活并保存键盘、远程控制和其它多媒体设 备上的预先定义的热按钮。如果此服务被终止，由此服务控制的热按钮将不再运行。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：如果没有什么HID装置，可以停用。比如键盘上调音量的按钮就属于智能界面设备。 ◎默认：禁用 建议：禁用 22.显示名称：IMAPI CD-Burning COM Service ◎进程名称：imapi.exe ◎微软描述：用 Image Mastering Applications Programming Interface(IMAPI) 管理 CD 录制。如果停止该服务，这台计算机将无法录制 CD。如果该服务被停用，任何依靠它的服务都无法启动。 ◎补充描述：XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能，可惜比不上烧录软件，关掉还可以加快Nero的开启速度，如果习惯使用第三方软件或者根本没有刻录机，那就停用。占用1.6兆内存。 ◎默认：手动 建议：禁用 23.显示名称：Indexing Service ◎进程名称：cisvc.exe ◎微软描述：本地和远程计算机上文件的索引内容和属性；通过灵活查询语言提供文件快速访问。 ◎补充描述：索引服务。简单的说可以让你加快搜查速度，不过我想应该很少人和远程计算机作搜寻吧，除非特殊工作。 ◎默认：手动 建议：手动 24.显示名称：Internet Connection - Firewall (ICF) / Sharing (ICS) ◎进程名称：svchost.exe ◎微软描述：为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。 ◎补充描述：在SP2中已经被Windows Firewall/Internet Connection Sharing (ICS)取代。 ◎默认：手动 建议：手动 25.显示名称：IPSEC Services ◎进程名称： lsass.exe ◎微软描述：管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 ◎补充描述：IP 安全性服务。协助保护经由网络传送的数据。IPSec 为一重要环节，为虚拟私人网络 (VPN) 中提供安全性，而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要，但是一般使用者大部分是不太需要的，可停止。 ◎默认：自动 建议：手动 26.显示名称：Logical Disk Manager ◎进程名称：svchost.exe -k netsvcs ◎微软描述：监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止，动态磁盘状态和配置信息会过时。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎ 补充描述：逻辑磁盘管理员。磁盘管理员用来动态管理磁盘，如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能，该服务对于经常使用移动硬盘、闪盘等外设的用户必不可少，根据具体情况。改为手动后需要时它会通知你。 ◎默认：自动 建议：自动 27.显示名称：Logical Disk Manager Administrative Service ◎进程名称：dmadmin.exe /com ◎微软描述：配置硬盘驱动器和卷。此服务只为配置处理运行，然后终止。 ◎补充描述：逻辑磁盘管理员系统管理服务。使用 Microsoft Management Console(MMC)主控台的功能时才用到。磁盘管理服务。需要时它会通知你，所以一般手动。 ◎默认：手动 ?建议：手动 28.显示名称：Machine Debug Manager Service ◎进程名称：mdm.exe ◎微软描述：支持对 Visual Studio 和脚本调试器进行本地和远程调试。如果该服务停止，调试器将不能正常工作。 ◎补充描述：对于开发人员使用的脚本调试器，一般不需要。 ◎默认：手动 建议：手动 29.显示名称：Messenger ◎进程名称：svchost.exe -k netsvcs ◎微软描述：传输客户端和服务器之间的 NET SEND 和 alerter 服务消息。此服务与 Windows Messenger 无关。如果服务停止，alerter 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 ◎补充描述：信使服务。允许网络之间互相传送提示信息的功能，net send 功能，如不想被骚扰话可关了。 ◎默认：禁用 建议：禁用 30.显示名称：MS Software Shadow Copy Provider ◎进程名称：dllhost.exe /Processid: ◎微软描述：管理卷影复制服务拍摄的软件卷影复制。如果该服务被停止，软件卷影复制将无法管理。如果该服务被停用，任何依赖它的服务将无法启动。 ◎补充描述：如上所说的，用来备份的东西，如 MS Backup 程序就需要这个服务，但是大多数人用不到这个功能。 ◎默认：手动 建议：手动 31.显示名称：Net Logon ◎进程名称：lsass.exe ◎微软描述：支持网络上计算机 pass-through 帐户登录身份验证事件。 ◎补充描述：一般家用计算机不太可能去用到登入网络审查这个服务。登陆Domain Controller用的，大众用户快关。如果要使用网内的域服务器登录到域时，启动。 ◎默认：手动 ?建议：手动 32.显示名称：NetMeeting Remote Desktop Sharing ◎进程名称：mnmsrvc.exe ◎微软描述：使授权用户能够通过使用 NetMeeting 跨企业 intranet 远程访问此计算机。如果此服务被停用，远程桌面服务将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：NetMeeting 远程桌面共享。让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者，用NetMeeting实现电脑共享。 如果你重视安全性，就关。如果你需要用到远程桌面求助或帮助别人就别动。 ◎默认：手动 建议：手动 33.显示名称：Network Connections ◎进程名称：svchost.exe -k netsvcs ◎微软描述：管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。 ◎补充描述：网络连接。控制你的网络连接，因特网、局域网要用的东东。关了就看不见网络连接了，不过需要的时候可以随时打开，不影响上网！ ◎默认：手动（已启动） 建议：手动 34.显示名称：Network DDE ◎进程名称：netdde.exe ◎微软描述：为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE) 的网络传输和安全。如果此服务被终止， DDE 传输和安全将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：网络 DDE。一般人好像用不到。 ◎默认：禁用 建议：禁用 35.显示名称：Network DDE DSDM ◎进程名称：netdde.exe ◎微软描述：管理动态数据交换 (DDE) 网络共享。如果此服务终止，DDE 网络共享将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：网络 DDE DSDM。一般好像用不到。 ◎默认：禁用 建议：禁用 36.显示名称：Network Location Awareness (NLA) ◎进程名称：svchost.exe -k netsvcs ◎微软描述：收集并保存网络配置和位置信息，并在信息改动时通知应用程序。 ◎补充描述：如果不使用ICF和ICS可以关了它。如有网络共享或ICS/ICF可能需要(服务器端)。对于移动办公用户，启动。 ◎默认：手动（已启动） 建议：手动 37.显示名称：Network Provisioning Service ◎进程名称：svchost.exe -k netsvcs ◎微软描述：为自动网络提供管理基于域的 XML 配置文件。 ◎补充描述： ◎默认：手动 建议：手动 38.显示名称：NT LM Security Support Provider ◎进程名称：lsass.exe ◎微软描述：为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。 ◎补充描述：NTLM 安全性支持提供者。如果不使用 Message Queuing 或是Telnet Server 那就关了它，一般用户也用不上。 ◎默认：手动 建议：手动 39.显示名称：Performance Logs and alerts ◎进程名称：smlogsvc.exe ◎微软描述：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。如果此服务被终止，将不会收集性能信息。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：性能记录文件及警示。记录机器运行状况而且定时写入日志或发警告，内容比较专业， 可以不用。 ◎默认：手动 建议：手动 40.显示名称：Plug and Play ◎进程名称：services.exe ◎微软描述：使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。 ◎补充描述：即插即用。顾名思义就是 PNP 环境，一般计算机中都需要PNP环境的支持，所以不要关闭。 ◎默认：自动 建议：自动 41.显示名称：Portable Media Serial Number Service ◎进程名称：svchost.exe -k netsvcs ◎ 微软描述：Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device. ◎补充描述：WmdmPmSN(便携的媒体序号服务)。获得系统中媒体播放器的序列号，用于控制盗版音乐文件复制到便携播放器上，如MP3、MD等。该服务进程名为Svchost.exe。 ◎默认：手动 建议：手动 42.显示名称：Print Spooler ◎进程名称：spoolsv.exe ◎微软描述：将文件加载到内存中以便迟后打印。 ◎补充描述：打印多任务缓冲处理器。可以优化打印，对于打印功能有一定的帮助，如果根本没有打印机，可以关了。 ◎默认：自动 ◎建议：手动 43.显示名称：Protected Storage ◎进程名称：lsass.exe ◎微软描述：提供对敏感数据(如私钥)的保护性存储，以便防止未授权的服务，过程或用户对其的非法访问。 ◎补充描述：受保护的存放装置。用来储存你计算机上密码的服务，像 Outlook、拨号程序、其它应用程序、主从架构等等。视具体使用环境而定，在不安全的环境下建议停止。 ◎默认：自动 建议：手动 44.显示名称：QoS RSVP ◎进程名称：rsvp.exe ◎微软描述：为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 ◎补充描述：QoS 许可控制，RSVP。用来保留 20% 带宽的服务，如果你的网卡不支持802.1p 或在你计算机的网络上没有 ACS server，那就不用多说了，关了它。 ◎默认：手动 建议：手动 45.显示名称：Remote Access Auto Connection Manager ◎进程名称：svchost.exe -k netsvcs ◎微软描述：无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地址就创建一个到远程网络的连接。 ◎补充描述：如果你的机器提供网络共享服务就启动它，以避免网络断线后手动连接，否则停止。 ◎默认：手动 建议：手动 46.显示名称：Remote Access Connection Manager ◎进程名称：svchost.exe -k netsvcs ◎微软描述：创建网络连接。 ◎补充描述：根据具体情况而定。 ◎默认：手动 建议：手动 47.显示名称：Remote Desktop Help Session Manager ◎进程名称：sessmgr.exe ◎微软描述：管理并控制远程协助。如果此服务被终止，远程协助将不可用。终止此服务前，请参见“属性”对话框上的“依存”选项卡。 ◎补充描述：远程桌面协助服务，用于管理和控制远程协助，，对于普通用户来说，用处不大，可以关闭。占用4兆内存。 ◎默认：手动 建议：手动 48.显示名称：Remote Procere Call (RPC) ◎进程名称：svchost -k rpcss ◎微软描述：提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。 ◎补充描述：远程过程调用。系统级服务，别去动它！ ◎默认：自动 建议：自动 49.显示名称：Remote Procere Call (RPC) Locator ◎进程名称：locator.exe ◎微软描述：管理 RPC 名称服务数据库。 ◎补充描述：远程过程调用定位程序。在一般计算机上很少用到，没什么特殊要求，可以尝试关了。 ◎默认：手动 建议：手动 50.显示名称：Remote Registry ◎进程名称：svchost.exe -k LocalService ◎微软描述：使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎补充描述：远程登录注册表服务。允许远程用户在权限许可的情况下登录本机并修改注册表设置。一般而言，这项服务是很少用到的，而且给自己的计算机增加了不必要的危险，因此也把它设为禁止。 ◎默认：自动 建议：禁用 51.显示名称：Removable Storage ◎进程名称：svchost.exe -k netsvcs ◎微软描述：无 ◎补充描述：卸除式存放装置。除非你有 Zip 磁盘驱动器或是 USB 之类移动式的硬件或是 Tape备份装置，不然可以尝试关了，现在的这方面的设备很多，建议保留。 ◎默认：手动 建议：手动 52.显示名称：Routing and Remote Access ◎进程名称：svchost.exe -k netsvcs ◎微软描述：在局域网以及广域网环境中为企业提供路由服务。 ◎补充描述：路由和远程访问提供拨号联机到网络或是 VPN 服务，一般用户用不到，可以关闭。 ◎默认：禁用 建议：禁用 53.显示名称：Secondary Logon ◎进程名称：svchost.exe -k netsvcs ◎微软描述：启用替换凭据下的启用进程。如果此服务被终止，此类型登录访问将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。 ◎ 补充描述：Seclogon(二次登录服务)。在多用户使用的计算机上，某些用户因为是非管理员权限，导致某些程序无法执行。为了让没有管理员权限的已登录用户可以使用这个程序，WindowsXP设计了这个功能来分配临时的管理员权限。该服务进程名为svchost.exe。基于安全性考虑，停止。 ◎默认：自动 建议：手动 54.显示名称：Security Accounts Manager ◎进程名称：lsass.exe ◎微软描述：存储本地用户帐户的安全信息。 ◎补充描述：安全性账户管理员。管理账号和群组原则(gpedit.msc)应用。 ◎默认：自动 建议：自动 55.显示名称：Security Center ◎进程名称：svchost.exe -k netsvcs ◎微软描述：监视系统安全设置和配置。 ◎补充描述：SP2的安全中心。 ◎默认：自动 建议：禁用

‘叁’ linux syslog服务器如何接收solaris日志

可能是因为你网络的安全设置问题，远程日志服务器的设置没错，只要打开-r参数就可以接收日志了，你要确保自己的服务器都与日志服务器能够在网络段内能够相互连通，网络设备有没有设防火墙呢？如果没有的话，应该是solaris系统的安全设置问题，还真找不出什么问题来。

‘肆’ 日志采集方式 SNMP TRAP 和 Syslog 的区别

文本方式

在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。邮件
方式是指在安全设备内设定报警或通知条件，当符合条件的事件发生时，相关情况被一一记录下来，然后在某一时间由安全设备或系统主动地将这些日志信息以邮件
形式发给邮件接受者，属于被动采集日志数据方式。其中的日志信息通常是以文本方式传送，传送的信息量相对少且需专业人员才能看懂。而FTP方式必须事先开
发特定的采集程序进行日志数据采集，每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大，属于主动采集日志数据方式。

随着网络高速的发展，网络内部以百兆、千兆甚至万兆互联，即使采取功能强大的计算机来处理日志数据包的采集工作，相对来说以上两种方式速度和效率也是不尽人意。因此，文本方式只能在采集日志数据范围小、速度比较慢的网络中使用，一般在网络安全管理中不被主要采用。

SNMP
trap方式

建立在简单网络管理协议SNMP上的网络管理，SNMP
TRAP是基于SNMP MIB的，因为SNMP MIB
是定义了这个设备都有哪些信息可以被收集，哪些trap的触发条件可以被定义，只有符合TRAP触发条件的事件才被发送出去。人们通常使用 SNMP
Trap
机制进行日志数据采集。生成Trap消息的事件(如系统重启)由Trap代理内部定义，而不是通用格式定义。由于Trap机制是基于事件驱动的，代理只有在监听到故障时才通知管理系统，非故障信息不会通知给管理系统。对于该方式的日志数据采集只能在SNMP下进行，生成的消息格式单独定义，对于不支持
SNMP设备通用性不是很强。

网络设备的部分故障日志信息，如环境、SNMP访问失效等信息由SNMP
Trap进行报告，通过对 SNMP 数据报文中 Trap
字段值的解释就可以获得一条网络设备的重要信息，由此可见管理进程必须能够全面正确地解释网络上各种设备所发送的Trap数据，这样才能完成对网络设备的
信息监控和数据采集。

但是由于网络结构和网络技术的多样性，以及不同厂商管理其网络设备的手段不同，要求网络管理系统不但对公有
Trap能够正确解释，更要对不同厂商网络设备的私有部分非常了解，这样才能正确解析不同厂商网络设备所发送的私有
Trap，这也需要跟厂商紧密合作，进行联合技术开发，从而保证对私有 Trap
完整正确的解析和应用。此原因导致该种方式面对不同厂商的产品采集日志数据方式需单独进行编程处理，且要全面解释所有日志信息才能有效地采集到日志数据。
由此可见，该采集在日常日志数据采集中通用性不强。

syslog方式

已成为工业标准协议的系统日志
(syslog)协议是在加里佛尼亚大学伯克立软件分布研究中心(BSD)的TCP/IP
系统实施中开发的，目前，可用它记录设备的日志。在路由器、交换机、服务器等网络设备中，syslog记录着系统中的任何事件，管理者可以通过查看系统记
录，随时掌握系统状况。它能够接收远程系统的日志记录，在一个日志中按时间顺序处理包含多个系统的记录,并以文件形式存盘。同时不需要连接多个系统，就可
以在一个位置查看所有的记录。syslog使用UDP作为传输协议，通过目的端口514(也可以是其他定义的端口号),将所有安全设备的日志管理配置发送
到安装了syslog软件系统的日志服务器，syslog日志服务器自动接收日志数据并写到日志文件中。

另外，选用以syslog方式采集日志数据非常方便，且具有下述原因：

第一，Syslog
协议广泛应用在编程上，许多日志函数都已采纳
syslog协议，syslog用于许多保护措施中。可以通过它记录任何事件。通过系统调用记录用户自行开发的应用程序的运行状况。研究和开发一些系统程
序是日志系统的重点之一，例如网络设备日志功能将网络应用程序的重要行为向 syslog
接口呼叫并记录为日志，大部分内部系统工具(如邮件和打印系统)都是如此生成信息的，许多新增的程序(如tcpwrappers和SSH)也是如此工作
的。通过syslogd(负责大部分系统事
件的守护进程)，将系统事件可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络记录到远端设备上的事件。

第二，当今网络设备普遍支持syslog协议。几乎所有的网络设备都可以通过syslog协议，将日志信息以用户数据报协议(UDP)方式传送
到远端服务器，远端接收日志服务器必须通过syslogd监听UDP 端口514，并根据
syslog.conf配置文件中的配置处理本机，接收访问系统的日志信息，把指定的事件写入特定文件中，供后台数据库管理和响应之用。意味着可以让任何
事件都登录到一台或多台服务器上，以备后台数据库用off-line(离线) 方法分析远端设备的事件。

第三，Syslog
协议和进程的最基本原则就是简单，在协议的发送者和接收者之间不要求严格的相互协调。事实上，syslog信息的传递可以在接收器没有被配置甚至没有接收器的情况下开始。反之，在没有清晰配置或定义的情况下，接收器也可以接收到信息。

‘伍’ 想在公司内部搭建一个日志服务器，可以接收其他所有服务器以及各种设备产生的日志。不知道用什么服务器。

http://wenku..com/view/8053931cff00bed5b9f31d8a.html
详细步骤

建立一个中央日志服务器

1建立中央日志服务器前的准备工作

配置良好的网络服务（DNS和NTP）有助于提高日志记录工作的精确性。在默认情况下，当有其他机器向自己发送日志消息时，中央日志服务器将尝试解析该机器的FQDN（fullyqualifieddomainname，完整域名）。（你可以在配置中央服务器时用“-x”选项禁止它这样做。）如果syslog守护进程无法解析出那个地址，它将继续尝试，这种毫无必要的额外负担将大幅降低日志记录工作的效率。类似地，如果你的各个系统在时间上不同步，中央日志服务器给某个事件打上的时间戳就可能会与发送该事件的那台机器打上的时间戳不一致，这种差异会在你对事件进行排序分析时带来很大的困扰；对网络时间进行同步有助于保证日志消息的时间准确性。如果想消除这种时间不同步带来的麻烦，先编辑/etc/ntp.conf文件，使其指向一个中央时间源，再安排ntpd守护进程随系统开机启动就可以了。

2配置一个中央日志服务器

只须稍加配置，就可以用syslog实现一个中央日志服务器。任何一台运行syslog守护进程的服务器都可以被配置成接受来自另一台机器的消息，但这个选项在默认情况下是禁用的。在后面的讨论里，如无特别说明，有关步骤将适用于包括SUSE和RedHat在内的大多数Linux发行版本。我们先来看看如何激活一个syslog服务器接受外来的日志消息：

1. 编辑/etc/sysconfig/syslog文件。

在“SYSLOGD_OPTIONS”行上加“-r”选项以允许接受外来日志消息。如果因为关于其他机器的DNS记录项不够齐全或其他原因不想让中央日志服务器解析其他机器的FQDN，还可以加上“-x”选项。此外，你或许还想把默认的时间戳标记消息（--MARK--）出现频率改成比较有实际意义的数值，比如240，表示每隔240分钟（每天6次）在日志文件里增加一行时间戳消息。日志文件里的“--MARK--”消息可以让你知道中央日志服务器上的syslog守护进程没有停工偷懒。按照上面这些解释写出来的配置行应该是如下所示的样子：
SYSLOGD_OPTIONS="-r-x-m240"

2.重新启动syslog守护进程。修改只有在syslog守护进程重新启动后才会生效。如果你只想重新启动syslog守护进程而不是整个系统，在RedHat机器上，执行以下两条命令之一：
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart

3.如果这台机器上运行着iptables防火墙或TCPWrappers，请确保它们允许514号端口上的连接通过。syslog守护进程要用到514号端口。

4为中央日志服务器配置各客户机器

让客户机把日志消息发往一个中央日志服务器并不困难。编辑客户机上的/etc/syslog.conf文件，在有关配置行的操作动作部分用一个“@”字符指向中央日志服务器，如下所示：

另一种办法是在DNS里定义一个名为“loghost”的机器，然后对客户机的syslog配置文件做如下修改（这个办法的好处是：当你把中央日志服务器换成另一台机器时，不用再修改每一个客户机上的syslog配置文件）：
authpriv.*@loghost

接下来，重新启动客户机上的syslog守护进程让修改生效。让客户机在往中央日志服务器发送日志消息的同时继续在本地进行日志工作仍有必要，起码在调试客户机的时候不必到中央日志服务器查日志，在中央日志服务器出问题的时候还可以帮助调试。

‘陆’ Cisco日志服务器发送日志，日志服务器收取不到。求助！

1. 你的软件是叫什么？仙人掌MRTG？没说明白

2. cisco的配置是什么样的？

3. 什么形式推送告警日志的，邮件还是其他方式。没说明白

   无法回答。

‘柒’ 有没有人知道，我们要学会如何去看我们服务器日志、我们该怎样查看服务器日志，我是做seo的，有关的方面

利用Windows 2003服务器的远程维护功能，并通过IE浏览界面，就能对服务器的日志文件进行远程查看了，不过默认状态下，Windows 2003服务器的远程维护功能并没有开通，需要手工启动。
查看服务器日志文件的作用
网站服务器日志记录了web服务器接收处理请求以及运行时错误等各种原始信息。通 过对日志进行统计、分析、综合，就能有效地掌握服务器的运行状况，发现和排除错误原 因、了解客户访问分布等，更好的加强系统的维护和管理。
对于自己有服务器的朋友或是有条件可以看到服务器日志文件的朋友来说，无疑是了 解搜索引擎工作原理和搜索引擎对网页抓取频率的最佳途径。
通过这个文件，您可以了解什么搜索引擎、什么时间、抓取了哪些页面，以及可以知 道是主搜索蜘蛛还是从搜索蜘蛛抓取了您的网站等的信息。
访问原理
1、客户端（浏览器）和Web服务器建立TCP连接，连接建立以后，向Web服务器发出 访问请求（如：Get），根据HTTP协议该请求中包含了客户端的IP地址、浏览器类型、 请求的URL等一系列信息。
2、Web服务器收到请求后，将客户端要求的页面内容返回到客户端。如果出现错误，那么返回错误代码。
3、服务器端将访问信息和错误信息纪录到日志文件里。
下面我们就对本公司自己服务器其中的一个日志文件进行分析。由于文件比较长，所以我们只拿出典型的几种情况来说明。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 03:56:30
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12 03:56:30 三圆三圆三圆** 218.25.92.169 GET / - 80 - 220.181.18.98 Baispider+(+http://www..com/search/spider.htm) 403 14 5
/* 说明 */
上面定义了在2006年5月12日的3点56分30秒的时候，IP为220.181.18.98的网络蜘蛛通过80端口（HTTP）访问了IP为218.25.92.169的服务器的根目录，但被拒绝。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 10:18:39
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12 10:33:36 三圆三圆三圆** 218.25.92.169 GET /***/index.htm - 80 - 10.2.57.6 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
2006-05-12 10:33:36 三圆三圆三圆** 218.25.92.169 GET /***/***/***.gif - 80 - 10.2.57.6 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) 200 0 0
/* 说明 */
上面定义了在2006年5月12日的10点33分36秒的时候，IP为10.2.57.6的用户正常访问了网站三圆三圆三圆**中***目录下的index.htm页和***/***下的***。gif图片。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2006-05-12 13:17:46
#Fields: date time s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2006-05-12 13:17:46 三圆三圆三圆** 218.25.92.169 GET /robots.txt - 80 - 66.249.66.72 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 404 0 2
2006-05-12 13:17:46 三圆三圆三圆** 218.25.92.169 GET / - 80 - 66.249.66.72 Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) 403 14 5
/* 说明 */
上面定义了在2006年5月12日的13点17分46秒的时候，IP为66.249.66.72的Google蜘蛛访问了robots.txt文件，但没有找到此文件，有访问了此网站的根目 录，但被拒绝。
现在也有很多日志分析工具，如果您的服务器流量很大的话，作者推荐使用分析工具来分析服务器日志。
Windows独享主机如何查看服务器系统日志?

服务器系统日志是记载着服务器每时每刻的信息的一个数据库，上面记载着的一些信息对于我们了解服务器的运行状况都有很大的帮助。
查看方法：登陆服务器后进入控制面板—管理工具—事件查看器

‘捌’ linux搭的rsyslog日志服务器接收设备日志有延时

首先需要一台日志服务器（如IP地址为10.1.1.1），然后在Linux操作系统配置并启动日志服务器：
1、编辑“/etc/syslog.conf”；
2、在消息去向处添加“*.Error; authpriv.* @10.1.1.1”；
3、存盘退出重起服务“/etc/rc.d/init.d/syslog restart”

‘玖’ 飞鱼星1260如何启用日志服务器

具体配置步骤：
1.开启系统日志服务器功能
点开路由器的系统状态→系统日志，启用“系统日志服务器”，并启用“日志服务器”，输入对应日志服务器的IP地址，具体界面如下图：

“飞鱼星日志系统（VLS）”及具体使用方法请到http://www.adslr.com/down/文件下载中心，找到设备对应型号进行下载，下载后解压运行Volanslogsystem.exe，如图，输入数据库的密码、端口号（服务器IP、用户名不用修改），即可运行，并自动连接获取日志。