使用rsync备份Windows事件日志

使用rsync备份Windows事件日志

Windows版软件：cwRsyncServer

安装比较简单一直下一步即可，输入到创建账号页面的时候可以自己设置一个密码。

服务器端：cwRsyncServer_4.0.5_Installe.zip客户端：cwRsync_4.0.5_Installer.zip

由于特殊原因需要收集Windows的Application、Security、Setup、System事件日志，而事件日志的位置是在C:\Windows\System32\winevt\Logs当中，经测试rsync无法同步此目录的文件，因此采用硬链接的方式将其链接到另一个目录。

正文

• 创建硬链接

echo offmd  C:\Eventlogmklink /H C:\Eventlog\System.evtx    C:\Windows\System32\winevt\Logs\System.evtx  mklink /H C:\Eventlog\Setup.evtx   C:\Windows\System32\winevt\Logs\Setup.evtxmklink /H C:\Eventlog\Security.evtx   C:\Windows\System32\winevt\Logs\Security.evtxmklink /H C:\Eventlog\Application.evtx   C:\Windows\System32\winevt\Logs\Application.evtx

• rsync服务端

配置文件

use chroot = falsestrict modes = falselog file = rsyncd.logpid file = rsyncd.pid port = 8173 #默认端口8173 uid = 0 #不指定uid，不加这一行将无法使用任何账户 gid = 0 #不指定gid max connections = 20 #最大连接数20 hosts allow =   IP #此处写允许连接的IPread only = yes[模块名]  path = /cygdrive/e/路径/    #"/cygdrive/e/"不可更改，后面写路径transfer logging = yes  lock file = rsyncd.lockread only = false  #关闭只读，使用rsync客户端推送，因此需要关闭log file = #此处记录传输日志，写路径

配置好之后启动服务，并在防火墙开放8173端口。

• 客户端
  bat脚本

echo offc:cd C:\Program Files (x86)\ICW\Binrsync -avzP  --progress  --checksum --port=8173  /cygdrive/c/路径/  服务端IP::模块名

客户端(推送端)bat脚本

schtasks /create /sc minute  /mo 5 /tn "rsync" /st 00:00  /tr C:\rsync\rsyslog.bat  /ru System  #cmd 创建计划任务"rsync"，使用系统账户从当天0点开始每5分钟执行一次脚本rsyslog.bat 

也可以手动创建计划任务