Syslog 是一种标准的网络日志协议，广泛应用于 Linux/Unix 系统和网络设备（如路由器、交换机、防火墙）中，通过在 Windows 上搭建一个 Syslog 服务器，你可以将来自这些设备和系统的日志集中收集、管理和分析，这对于运维、安全审计和故障排查至关重要。

在 Windows 上实现 Syslog 服务器主要有以下几种方式，我会从最推荐到最不推荐的顺序进行介绍：

使用 Windows 事件转发 + PowerShell (最推荐，功能最强大)

这是现代 Windows Server (2012 R2 及以上) 官方推荐的最佳实践，它不直接接收 Syslog 协议，而是将接收到的 Syslog 消息转换为 Windows 事件，然后利用 Windows 强大的事件转发功能进行处理。

工作原理：

1. 一个轻量级的“Syslog 侦听服务”接收来自网络的 UDP 514 端口的 Syslog 消息。
2. 该服务将每条 Syslog 消息解析，并将其格式化为一个自定义的 Windows 事件。
3. 这些自定义事件被写入到 Windows 事件查看器的“应用程序和服务日志”下的一个自定义日志中（ForwardedEvents）。
4. 你可以利用 Windows 事件订阅 的功能，将这些转发的事件进一步推送到其他 Windows 服务器进行集中存储和处理。

优点：

• 原生集成：与 Windows 事件查看器、任务计划程序、PowerShell 等原生工具无缝集成。
• 功能强大：可以利用 Windows 事件订阅实现跨服务器的日志聚合、筛选和告警。
• 安全：基于 Windows 的安全模型和组策略进行管理。
• 稳定可靠：作为 Windows 服务运行，稳定性和性能有保障。

缺点：

• 配置稍复杂：相比第三方工具，初始配置步骤多一些。

配置步骤 (以 Windows Server 2025/2025 为例):

第 1 步：安装 Syslog 事件收集器模块

1. 以管理员身份打开 PowerShell。
2. 运行以下命令来安装该模块：

   Install-WindowsFeature -Name RSAT-AD-PowerShell, Web-Mgmt-Tools, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Console, Web-Mgmt-Service, Web-Default-Doc, Web-Dir-Browsing, Web-Http-Errors, Web-Static-Content, Web-Http-Redirect, Web-Health, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Security, Web-Filtering, Web-Windows-Auth, Web-AppDev, Web-Net-Ext45, Web-Asp-Net45, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Mgmt-Service, Web-Mgmt-Console, RSAT-AD-PowerShell -IncludeManagementTools

   你可能只需要运行 Install-WindowsFeature -Name Web-Mgmt-Tools，因为它通常会包含所需的子功能，如果找不到，可以直接使用 Server Manager 的“添加角色和功能”向导，在“功能”列表中勾选 Web 管理工具 -> IIS 管理控制台 和 IIS 管理服务。

   
   （图片来源网络，侵删）

第 2 步：使用 PowerShell 脚本创建 Syslog 侦听器

你需要一个脚本来持续监听 UDP 514 端口并将消息转换为事件，这里提供一个可靠的示例脚本。

1. 在服务器上创建一个新文件夹,C:\Scripts\Syslog。

2. 在该文件夹中创建一个名为 SyslogListener.ps1 的文件，并粘贴以下内容：

   #requires -RunAsAdministrator
   # --- 配置 ---
   $LogName = "ForwardedEvents" # Syslog 消息将被写入到此 Windows 日志
   $Source = "Syslog"           # 事件提供程序名称
   $MaxKBytes = 1024            # 日志文件最大大小 (MB)
   $RetentionDays = 30          # 日志保留天数
   $Port = 514                  # Syslog 侦听端口
   # --- 配置结束 ---
   # 检查是否已存在该日志源，不存在则创建
   if (-not [System.Diagnostics.EventLog]::SourceExists($Source)) {
       New-EventLog -LogName $LogName -Source $Source
       Write-Host "已创建事件日志源: $Source"
   }
   # 设置日志大小和保留策略
   wevtutil sl $LogName /ms:$($MaxKBytes * 1024) /rd:$RetentionDays /k:false
   # 创建 UDP 侦听器
   $endpoint = New-Object System.Net.IPEndPoint([System.Net.IPAddress]::Any, $Port)
   $client = New-Object System.Net.Sockets.UdpClient($Port)
   $client.Client.ReceiveTimeout = 1000 # 设置超时，避免脚本卡死
   Write-Host "Syslog 侦听器已在端口 $Port 上启动..."
   try {
       while ($true) {
           $content = $null
           try {
               # 接收数据
               $receiveResult = $client.Receive([ref]$endpoint)
               $content = [System.Text.Encoding]::ASCII.GetString($receiveResult)
               # 解析 Syslog 消息 (简化版 RFC3164)
               # 格式: <Priority>Timestamp Hostname Tag Message
               if ($content -match "^<(\d+)>(\S+)\s+(\S+)\s+(\S+)\s+(.*)$") {
                   $priority = [int]$matches[1]
                   $timestamp_str = $matches[2]
                   $hostname = $matches[3]
                   $tag = $matches[4]
                   $message = $matches[5]
                   # 计算事件 ID 和级别
                   $facility = [math]::Truncate($priority / 8)
                   $severity = $priority % 8
                   switch ($severity) {
                       0 { $level = "Error"; $eventID = 1 }   # Emergency
                       1 { $level = "Error"; $eventID = 2 }   # Alert
                       2 { $level = "Error"; $eventID = 3 }   # Critical
                       3 { $level = "Error"; $eventID = 4 }   # Error
                       4 { $level = "Warning"; $eventID = 5 } # Warning
                       5 { $level = "Information"; $eventID = 6 } # Notice
                       6 { $level = "Information"; $eventID = 7 } # Informational
                       7 { $level = "Verbose"; $eventID = 8 } # Debug
                       default { $level = "Information"; $eventID = 99 }
                   }
                   # 构造事件消息体
                   $eventMessage = "Hostname: $hostname`nFacility: $facility`nTag: $tag`nMessage: $message"
                   # 写入事件日志
                   Write-EventLog -LogName $LogName -Source $Source -EntryType $level -EventId $eventID -Message $eventMessage -Category 0 -ComputerName $env:COMPUTERNAME
               } else {
                   # 如果无法解析，也记录下来
                   Write-EventLog -LogName $LogName -Source $Source -EntryType "Warning" -EventId 100 -Message "无法解析的 Syslog 消息: $content" -Category 0 -ComputerName $env:COMPUTERNAME
               }
           } catch {
               # 超时是正常现象，继续循环
               if ($_.Exception.GetType().Name -ne "SocketException") {
                   Write-Warning $_.Exception.Message
               }
           }
       }
   } finally {
       $client.Close()
       Write-Host "Syslog 侦听器已停止。"
   }

第 3 步：将脚本配置为 Windows 服务 (推荐)

为了让脚本在后台持续运行,最好的方式是将其注册为 Windows 服务，可以使用 nssm (Non-Sucking Service Manager) 这个免费工具。

1. 下载 nssm：https://nssm.cc/download
2. 解压 nssm.exe 到一个系统路径下（如 C:\Windows\System32）。
3. 以管理员身份打开 CMD 或 PowerShell。
4. 运行以下命令来创建服务：

   nssm install SyslogListener "C:\Program Files\PowerShell\7\pwsh.exe" "-NoProfile -ExecutionPolicy Bypass -File C:\Scripts\Syslog\SyslogListener.ps1"

   • 注意：请根据你的 PowerShell 实际路径调整命令（C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe）。
5. 启动服务