wglog-syslog工具下载和使用说明
如果我们想要采集交换机、防火墙等网络设备的日志,需要使用syslog协议把这些设备的日志先收集到本地,然后使用wglog-agent 进行采集日志文件
wglog-syslog是我们自己开发的一个辅助工具,相当于syslog接收端工具,用于收集交换机、防火墙等设备的日志,只需要在这些设备设置syslog,把日志发给wglog-syslog程序就可以了
wglog-syslog可以部署多个,而且每个可以分别收集不同设备日志,哪里需要,就部署到哪里,就像agent一样灵活自由
1、下载wglog-syslog工具
wglog-syslog可以看作是一个完全独立的syslog日志收集工具,可以配合wglog的任何版本使用,它本身没有和wglog没有产生任何交互
wglog-syslog可以部署到任何主机或者服务器运行,只要交换机、防火墙等设备能把日志发给它就行
Windows平台下载Linux平台下载
wglog-syslog-v1.2.zip29MBMD5: fe2c8df42e17c464e8d46f2824d7c61e wglog-syslog-v1.2.tar.gz29MBMD5: a7666ae313908165f052e6a9f2ee6067
2、部署wglog-syslog的主机需要安装JDK1.8或JDK11环境
更高JDK版本也可以,openjdk也支持,Linux安装JDK请点击 Windows安装JDK请点击
3、wglog-syslog不需要连接数据库
wglog-syslog不需要连接数据库,它只会被动的接收syslog的日志,然后将日志输出到log/目录下的日志文件里,不做其他处理
4、下载wglog-syslog后,我们先解压
使用方式和server相同,start.sh是启动程序,stop.sh是停止程序
5、配置文件config/application.yml修改
我们只需要配置sysLogBindIp即可,每个配置项都有注释说明
port: 9991,这个端口可以随意修改,因为wglog-syslog没有对外提供web服务,防火墙不需要开启此端口
注意yml文件格式规则,每个配置项冒号后需要保留一个英文空格
6、如何启动wglog-syslog
windows用start.bat(停止关掉窗口即可)。Linux用sh start.sh启动服务,停止用sh stop.sh
在日志文件(在wglog-syslog/log目录下)看到如下信息,说明程序启动成功
......
2024-12-25 09:33:49.186 [main] INFO  com.wgcloud.WgcloudServiceApplication - Starting WgcloudServiceApplication vrelease using Java 1.8.0_362 on VM-12-17-centos with PID 2203043 (/wgcloudServerBackup/wgcloud-server-backup-v3.5.6/wgcloud-server-backup-release.jar started by root in /wgcloudServerBackup/wgcloud-server-backup-v3.5.6)
2024-12-25 09:33:49.190 [main] INFO  com.wgcloud.WgcloudServiceApplication - No active profile set, falling back to 1 default profile: "default"
2024-12-25 09:33:51.118 [main] INFO  o.s.boot.web.embedded.tomcat.TomcatWebServer - Tomcat initialized with port(s): 9996 (http)
2024-12-25 09:33:51.139 [main] INFO  org.apache.catalina.core.StandardService - Starting service [Tomcat]
2024-12-25 09:33:51.139 [main] INFO  org.apache.catalina.core.StandardEngine - Starting Servlet engine: [Apache Tomcat/9.0.83]
2024-12-25 09:33:51.253 [main] INFO  o.a.c.c.C.[.[localhost].[/wglog-syslog] - Initializing Spring embedded WebApplicationContext
2024-12-25 09:33:51.253 [main] INFO  o.s.b.w.s.c.ServletWebServerApplicationContext - Root WebApplicationContext: initialization completed in 1910 ms
2024-12-25 09:33:52.656 [main] INFO  o.s.boot.web.embedded.tomcat.TomcatWebServer - Tomcat started on port(s): 9996 (http) with context path '/wglog-syslog'
2024-12-25 09:33:52.704 [main] INFO  com.wgcloud.WgcloudServiceApplication - Started WgcloudServiceApplication in 4.495 seconds (JVM running for 5.38)
2024-12-25 09:34:02.675 [taskScheduler-1] INFO  com.wgcloud.ScheduledTask - wglog-syslog v1.2 getServerListTask------------2024-12-25 09:34:02
......
7、在windows部署wglog-syslog,如果不想看到运行的黑窗口,可以把它注册为windows系统服务
查看说明
8、启动后,wglog-syslog就可以接收到其他设备的日志(标红部分就是接收的日志信息),然后把输出到wglog-syslog/log目录下,如下
......
2025-11-25 08:11:48.589 [pool-1-thread-1] INFO  com.wgcloud.service.SyslogUdpService - 2025-11-25 08:11:48 144.202.21.254 6 vultr sshd[38046]: Connection closed by authenticating user root xxxxxxxx port 50070 [preauth] 
2025-11-25 08:11:49.144 [pool-1-thread-1] INFO  com.wgcloud.service.SyslogUdpService - 2025-11-25 08:11:49 144.202.21.254 6 vultr sshd[38048]: Connection closed by authenticating user root xxxxxxxx port 38742 [preauth] 
2025-11-25 08:11:49.787 [pool-1-thread-1] INFO  com.wgcloud.service.SyslogUdpService - 2025-11-25 08:11:49 144.202.21.254 5 vultr sshd[38050]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xxxxxxxx  user=root 
2025-11-25 08:11:53.919 [pool-1-thread-1] INFO  com.wgcloud.service.SyslogUdpService - 2025-11-25 08:11:53 144.202.21.254 6 vultr sshd[38050]: Connection closed by authenticating user root xxxxxxxx port 58862 [preauth] 
......
然后我们就可以通过wglog的agent采集这些设备的日志了,就像采集其他的日志文件一样,正常采集即可