使用rsync备份Windows事件日志
Windows版软件:cwRsyncServer
安装比较简单一直下一步即可,输入到创建账号页面的时候可以自己设置一个密码。
服务器端:cwRsyncServer_4.0.5_Installe.zip
客户端:cwRsync_4.0.5_Installer.zip
由于特殊原因需要收集Windows的Application、Security、Setup、System事件日志,而事件日志的位置是在C:\Windows\System32\winevt\Logs
当中,经测试rsync无法同步此目录的文件,因此采用硬链接的方式将其链接到另一个目录。
正文
- 创建硬链接
echo off
md C:\Eventlog
mklink /H C:\Eventlog\System.evtx C:\Windows\System32\winevt\Logs\System.evtx
mklink /H C:\Eventlog\Setup.evtx C:\Windows\System32\winevt\Logs\Setup.evtx
mklink /H C:\Eventlog\Security.evtx C:\Windows\System32\winevt\Logs\Security.evtx
mklink /H C:\Eventlog\Application.evtx C:\Windows\System32\winevt\Logs\Application.evtx
- rsync服务端
配置文件
use chroot = false
strict modes = false
log file = rsyncd.log
pid file = rsyncd.pid
port = 8173 #默认端口8173
uid = 0 #不指定uid,不加这一行将无法使用任何账户
gid = 0 #不指定gid
max connections = 20 #最大连接数20
hosts allow = IP #此处写允许连接的IP
read only = yes
[模块名]
path = /cygdrive/e/路径/ #“/cygdrive/e/”不可更改,后面写路径
transfer logging = yes
lock file = rsyncd.lock
read only = false #关闭只读,使用rsync客户端推送,因此需要关闭
log file = #此处记录传输日志,写路径
配置好之后启动服务,并在防火墙开放8173端口。
- 客户端
bat脚本
echo off
c:
cd C:\Program Files (x86)\ICW\Bin
rsync -avzP --progress --checksum --port=8173 /cygdrive/c/路径/ 服务端IP::模块名
客户端(推送端)bat脚本
schtasks /create /sc minute /mo 5 /tn "rsync" /st 00:00 /tr C:\rsync\rsyslog.bat /ru System
#cmd 创建计划任务“rsync”,使用系统账户从当天0点开始每5分钟执行一次脚本rsyslog.bat
也可以手动创建计划任务
原文地址:https://blog.51cto.com/13950323/2431417
时间: 2024-10-07 10:23:36