使用rsync備份Windows事件日誌
Windows版軟件:cwRsyncServer
安裝比較簡單一直下一步即可,輸入到創建賬號頁面的時候可以自己設置一個密碼。
服務器端:cwRsyncServer_4.0.5_Installe.zip
客戶端:cwRsync_4.0.5_Installer.zip
由於特殊原因需要收集Windows的Application、Security、Setup、System事件日誌,而事件日誌的位置是在C:\Windows\System32\winevt\Logs
當中,經測試rsync無法同步此目錄的文件,因此採用硬鏈接的方式將其鏈接到另一個目錄。
正文
- 創建硬鏈接
echo off
md C:\Eventlog
mklink /H C:\Eventlog\System.evtx C:\Windows\System32\winevt\Logs\System.evtx
mklink /H C:\Eventlog\Setup.evtx C:\Windows\System32\winevt\Logs\Setup.evtx
mklink /H C:\Eventlog\Security.evtx C:\Windows\System32\winevt\Logs\Security.evtx
mklink /H C:\Eventlog\Application.evtx C:\Windows\System32\winevt\Logs\Application.evtx
- rsync服務端
配置文件
use chroot = false
strict modes = false
log file = rsyncd.log
pid file = rsyncd.pid
port = 8173 #默認端口8173
uid = 0 #不指定uid,不加這一行將無法使用任何賬戶
gid = 0 #不指定gid
max connections = 20 #最大連接數20
hosts allow = IP #此處寫允許連接的IP
read only = yes
[模塊名]
path = /cygdrive/e/路徑/ #“/cygdrive/e/”不可更改,後面寫路徑
transfer logging = yes
lock file = rsyncd.lock
read only = false #關閉只讀,使用rsync客戶端推送,因此需要關閉
log file = #此處記錄傳輸日誌,寫路徑
配置好之後啓動服務,並在防火牆開放8173端口。
- 客戶端
bat腳本
echo off
c:
cd C:\Program Files (x86)\ICW\Bin
rsync -avzP --progress --checksum --port=8173 /cygdrive/c/路徑/ 服務端IP::模塊名
客戶端(推送端)bat腳本
schtasks /create /sc minute /mo 5 /tn "rsync" /st 00:00 /tr C:\rsync\rsyslog.bat /ru System
#cmd 創建計劃任務“rsync”,使用系統賬戶從當天0點開始每5分鐘執行一次腳本rsyslog.bat
也可以手動創建計劃任務