◆Windows平台下客户端的部署

　　在Windows平台下采用软件evtsys进行客户端的部署，其下载链接为http：//engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/evtsys_exe.zip.解开后得到两个文件：evtsys.ext和evtsys.dll。

　　将这两个文件放到C：\WINDOWS\system32目录下，在命令行状态下运行如下命令进行安装：  %systemroot%\system32\evtsys –i-h loghost

　　当安装成功后，可查看服务列表看到相应的信息，如图1所示。

　　卸载evtsys的命令为：

　　%systemroot%\system32\evtsys-u

　　更改日志主机名的命令为：

　　Net stop evtsys        //停止 evtsys

　　evtsys-u              //卸载 evtsys

　　evtsys-l-h newloghost //指定新的日志主机名

　　net start evtsys      //启动 evtsys

　　二、日志主机的自动日志分析与监控

　　当整个系统部署好后，可以从日志主机里验证各服务器是否将日志信息发送到了日志主机上。以/var/log/message为例，打开此文件，当看到具有不同主机名字的日志信息标志着日志主机已经正常工作，节选部分日志如下：

　　Sep 19 08:39:38 dog crond(pam_unix)[4528]:ses-sion opened for user root by (uid=o)

　　Sep 19 08:39:36 dog crond(pam_unix)[4528]:session closed for user root

　　Sep 19 08:39:40 panda crond(pam_unix)[20296]:ses-sion opened for user root by(uid=0)

　　Sep 19 08:39:40 panda crond(pam_unix)[20296]:ses-sion closed for user root

　　Sep 19 08:39:53 app last message repeated 8 times

　　Sep 19 08:40:11 apple net-snmp[657]:Connection from udp:192.168.1.11:4298

　　Sep 19 08:40:11apple net-snmp[657]:Received SNMP packet(s) from udp:159.226.2.144:42988

　　Sep 19 08:41:15orangesshd(pam_unix)[28389]:ses-sion opened for user tom by(uid=2009)

　　Sep 19 08:41:28 orange sshd(pam_unix)[28389]:ses-sion opened for user tom by (uid=2009)

　　Sep 19 08:41:28 orange 9月19 08:41:28 su` (pam_unix)[28425]:session opened for user root by tom (uid=2009)