使用rsync备份Windows事件日志

使用rsync备份Windows事件日志

Windows版软件:cwRsyncServer

安装比较简单一直下一步即可,输入到创建账号页面的时候可以自己设置一个密码。

服务器端:cwRsyncServer_4.0.5_Installe.zip
客户端:cwRsync_4.0.5_Installer.zip

由于特殊原因需要收集Windows的Application、Security、Setup、System事件日志,而事件日志的位置是在C:\Windows\System32\winevt\Logs当中,经测试rsync无法同步此目录的文件,因此采用硬链接的方式将其链接到另一个目录。

正文
  • 创建硬链接
echo off

md  C:\Eventlog
mklink /H C:\Eventlog\System.evtx    C:\Windows\System32\winevt\Logs\System.evtx
mklink /H C:\Eventlog\Setup.evtx   C:\Windows\System32\winevt\Logs\Setup.evtx
mklink /H C:\Eventlog\Security.evtx   C:\Windows\System32\winevt\Logs\Security.evtx
mklink /H C:\Eventlog\Application.evtx   C:\Windows\System32\winevt\Logs\Application.evtx
  • rsync服务端

配置文件

use chroot = false
strict modes = false
log file = rsyncd.log
pid file = rsyncd.pid
port = 8173 #默认端口8173
uid = 0 #不指定uid,不加这一行将无法使用任何账户
gid = 0 #不指定gid
max connections = 20 #最大连接数20
hosts allow =   IP #此处写允许连接的IP
read only = yes

[模块名]
path = /cygdrive/e/路径/    #“/cygdrive/e/”不可更改,后面写路径
transfer logging = yes
lock file = rsyncd.lock
read only = false  #关闭只读,使用rsync客户端推送,因此需要关闭
log file = #此处记录传输日志,写路径

配置好之后启动服务,并在防火墙开放8173端口。

  • 客户端
    bat脚本
echo off

c:
cd C:\Program Files (x86)\ICW\Bin
rsync -avzP  --progress  --checksum --port=8173  /cygdrive/c/路径/  服务端IP::模块名

客户端(推送端)bat脚本

schtasks /create /sc minute  /mo 5 /tn "rsync" /st 00:00  /tr C:\rsync\rsyslog.bat  /ru System
#cmd 创建计划任务“rsync”,使用系统账户从当天0点开始每5分钟执行一次脚本rsyslog.bat

也可以手动创建计划任务

原文地址:https://blog.51cto.com/13950323/2431417

时间: 2024-08-07 18:34:26

使用rsync备份Windows事件日志的相关文章

使用EventLog类写Windows事件日志

在程序中经常需要将指定的信息(包括异常信息和正常处理信息)写到日志中.在C#3.0中可以使用EventLog类将各种信息直接写入Windows日志.EventLog类在System.Diagnostics命名空间中.我们可以在“管理工具” > "事件查看器“中可以查看我们写入的Windows日志,如下图所示: 下面是一个使用EventLog类向应用程序(Application)写入日志的例子,日志类型使用EventLogEntryType枚举类型指定. Code highlighting

为什么要使用日志管理?-syslog和Windows事件日志

为什么要使用日志管理?syslog和Windows事件日志 日志管理 - 确保网络安全的先决条件日志给予您有关网络活动的第一手信息.日志管理确保日志中隐藏的网络活动数据转换为有意义的可操作的安全信息.日志管理是网络安全管理员为保护网络而要完成的首要任务.日志管理包括收集.安全存储.规范化.分析.生成报表和告警.日志收集· 日志收集必须是非侵入性的.· 需要从网络中出现的不同设备.服务器和应用程序组中收集日志.· 最好以无代理的方式收集日志.在某些网络环境中,以使用代理的方式进行的日志收集应以可选

Windows事件日志写入SQL Server并PowerBI统计分析

在这里我准备了2台系统,一个Windows Server 2012 R2的域控服务器DC01,一台SQL on CentOS7的SQL数据库服务器 首先我使用SQL Manager Studio连接到SQL数据库服务器创建需要存放Windows转发事件日志的数据库"EventCollections" CREATE DATABASE EventCollections GO USE EventCollections GO -- the table name loosely relates

C#操作windows事件日志项

1 /// <summary> 2 /// 指定事件日志项的事件类型 3 /// </summary> 4 public enum EventLogLevel 5 { 6 /// <summary> 7 /// 错误事件.它指示用户应该知道的严重问题(通常是功能或数据的丢失). 8 /// </summary> 9 Error = 1, 10 /// <summary> 11 /// 警告事件.它指示并不立即具有重要性的问题,但此问题可能表示将来

Windows事件日志查询案例

1.查询本机事件日志名称 Get-EventLog -List 2.查询2018年1月4日后系统日志中的错误日志 Get-EventLog -LogName System -EntryType Error -After 2018-1-4 3.查看单个事件日志详细信息(index的值为事件日志的序号) Get-EventLog -LogName System | Where-Object {$_.index -eq 2677} | Select-Object -Property * 4.查询指定日

深入解密.NET(Windows事件日志)

测试 using System; using System.Diagnostics; namespace WindowsConsoleApp { //测试 public class EnventLogHelper { private EventLog log; public EnventLogHelper() { log = new EventLog();//默认写应用程序日志 } public EnventLogHelper(string name) { log = new EventLog(

SQL Server 无法生成 FRunCM 线程。请查看 SQL Server 错误日志和 Windows 事件日志

1.IP地址配置不正确: 打开 Microsoft SQL Server 2005配置工具下的SQL Server Configuration Manager,选择MSSQLSERVER协议, 然后双击右边窗口的TCP/IP,在弹出窗口中检查IP配置. 2.可能是因为VIA协议启用造成的.解决方法如下: 另外,管理员密码修改也会造成sqlserver服务无法启动.解决方法如下: 打开 Microsoft SQL Server 2005配置工具下的SQL Server Configuration

Windows安全事件日志中的事件编号与描述

帐号登录事件(事件编号与描述) 672 身份验证服务(AS)票证得到成功发行与验证.673 票证授权服务(TGS)票证得到授权.TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行.且允许用户针对域中特定服务进行身份验证的票证.674 安全主体重建AS票证或TGS票证.675 预身份验证失败.这种事件将在用户输入错误密码时由密钥分发中心(KDC)生成.676 身份验证票证请求失败.这种事件在Windows XP Professional操作系统或Windows Server产品家族

使用非管理员实现系统事件日志的自动备份与清除

1      场景描述 最近一个客户要对域内所有的域控制器开启日志审核,要审核的内容包括"用户的登录.注销""活动目录账户管理".开启审核后,在用户比较多并且登陆比较频繁的情况下,Windows安全日志会快速的增加,Windows安全日志默认的大小为128MB,可以通过修改安全日志最大大小来增加安全日志的存储量,理论上Windows安全日志的最大值可以设定为4GB,但微软官方指出安全日志在实际中最大的限制为300MB,但是即使我们调整日志最大大小为一个较大的值也避免