A primeira coisa que eu faço é identificar em qual momento o rsync está sendo executado. Você pode fazer isso com o auditd
Coloque um relógio no executável do rsync no seu servidor
which rsync
/usr/bin/rsync
auditctl -w /usr/bin/rsync -k rsync
Em seguida, você pode verificar periodicamente se o log de auditoria registrou algum acesso como este
ausearch -i -k rsync
Uma vez que você sabe os horários em que o rsync é executado - agora você pode identificar quais hosts remotos o usam.
Exemplo:
Veja a árvore de processos e identifique o que o rsync usa
pstree -p|grep -i rsync
|-sshd(3861)-+-sshd(26209)---bash(26212)---rsync(27858)---rsync(27859)
E verifique quais hosts remotos estão conectados ao PID 26209
netstat -anp|grep 26209
tcp 0 0 127.0.0.1:6010 0.0.0.0:* LISTEN 26209/sshd
tcp 0 0 10.10.10.20:22 10.10.10.40:64740 ESTABLISHED 26209/sshd
tcp 0 0 ::1:6010 :::* LISTEN 26209/sshd
Tudo isso pressupõe que o rsync realmente leva algum tempo, então você pode executar os comandos pstree e netstat. Se o rsync for muito rápido - existem outras maneiras de rastrear, mas será mais pesado (o systemtap está na minha cabeça para isso, mas comece do simples e se isso não funcionar - discutiremos soluções mais complexas).