rsyslog是Linux系统日志管理的核心服务，通过配置文件（/etc/rsyslog.conf和/etc/rsyslog.d/）定义模块、全局指令和日志规则，结合systemctl命令实现服务控制。日志规则由facility.priority选择器和动作（如写文件、发远程）组成，支持本地分类存储与远程集中日志（UDP/TCP），并可通过logrotate实现日志轮转，避免磁盘耗尽，确保系统可观测性与稳定性。

Linux系统日志服务rsyslog的管理，核心在于理解其配置文件结构、日志规则的定义，以及如何通过

systemctl

命令来控制服务。简单来说，它就像是系统日志的“交通警察”，负责接收、分类并最终将日志信息导向你指定的位置，无论是本地文件、远程服务器，甚至是其他程序。掌握rsyslog，意味着你掌握了系统行为的关键可见性。

解决方案

管理rsyslog主要围绕以下几个方面展开：配置文件编辑、服务状态控制、日志规则定义与调试。

1. 配置文件的核心理解与编辑 rsyslog的主要配置文件是

/etc/rsyslog.conf

，但更常见且推荐的做法是，将自定义的配置规则放在

/etc/rsyslog.d/

目录下，以

.conf

为后缀的文件中。这样能保持主配置文件的整洁，也便于模块化管理。

一个典型的rsyslog配置文件包含几个部分：

• Modules (模块加载): 比如

  $ModLoad imuxsock

  用于接收来自Unix socket的本地系统日志，

  $ModLoad imklog

  用于接收内核日志。如果你想接收远程日志，就需要加载

  imudp

  或

  imtcp

  模块。
• Global Directives (全局指令): 例如

  $ActionFileDefaultTemplate

  定义了写入文件的默认模板，

  $MainMsgQueueSize

  定义了主消息队列的大小。
• Rules (日志规则): 这是rsyslog的核心，定义了“什么日志（facility.priority）”应该“做什么（action）”。

2. 服务管理 rsyslog作为一个systemd服务，其管理非常直观：

• 查看状态：

  sudo systemctl status rsyslog

• 启动服务：

  sudo systemctl start rsyslog

• 停止服务：

  sudo systemctl stop rsyslog

• 重启服务（应用新配置）：

  sudo systemctl restart rsyslog

• 重新加载配置（不中断服务）：

  sudo systemctl reload rsyslog

  (并非所有配置更改都支持reload，有些需要restart)
• 开机自启：

  sudo systemctl enable rsyslog

• 禁止开机自启：

  sudo systemctl disable rsyslog

3. 定义日志规则 日志规则的格式通常是

SELECTOR ACTION

。

• SELECTOR: 由

  facility.priority

  组成。
  • Facility (设施): 标识日志的来源，如

    auth

    (认证),

    cron

    (定时任务),

    daemon

    (守护进程),

    kern

    (内核),

    mail

    (邮件),

    syslog

    (rsyslog本身),

    user

    (用户进程),

    local0

    到

    local7

    (自定义使用)。
  • Priority (优先级): 标识日志的严重程度，从低到高依次是

    debug

    ,

    info

    ,

    notice

    ,

    warning

    ,

    err

    ,

    crit

    ,

    alert

    ,

    emerg

    。还有一个特殊的

    none

    ，表示不记录该设施的任何优先级日志。
  • 可以通过

    *

    匹配所有，

    =

    精确匹配，

    !

    排除特定优先级。
  • 多个选择器可以用分号

    ;

    分隔。
• ACTION: 定义日志的处理方式。
  • 写入本地文件：

    /var/log/syslog

  • 发送到远程服务器：

    @remote_host:port

    (UDP),

    @@remote_host:port

    (TCP)
  • 发送到用户终端：

    user1,user2

  • 执行程序：

    |/path/to/script

例如，将所有邮件相关的警告及以上级别的日志写入

/var/log/mail.warn

：

mail.warning /var/log/mail.warn

将所有非认证相关的info级别日志发送到远程服务器

logserver.example.com

的514端口（UDP）：

*.info;authpriv.none @logserver.example.com:514

4. 调试与测试 在应用新的配置之前，使用

sudo rsyslogd -N1

命令可以检查配置文件的语法错误，这能帮你避免很多不必要的麻烦。

-N

参数后跟数字表示检查的级别，

1

通常足够。

rsyslog配置文件究竟怎么读？（如何理解其核心结构与规则）

初次接触rsyslog的配置文件，尤其是

/etc/rsyslog.conf

，可能会觉得它像是一堆晦涩的指令。但实际上，它遵循着一套清晰的逻辑。我个人觉得，理解它，就像是学习一门新的语言，需要从“词汇”和“语法”入手。

它的核心结构可以概括为三个主要部分：

1. 模块加载（

   $ModLoad

   ）： 这部分定义了rsyslog能“听”和“说”什么。比如

   $ModLoad imuxsock

   让它能接收本地系统进程通过Unix socket发出的日志（这是大多数本地日志的来源），

   $ModLoad imklog

   则负责处理内核日志。如果你想让rsyslog具备远程接收或发送日志的能力，你就得加载

   imudp

   （UDP协议）或

   imtcp

   （TCP协议）模块。这就像是给rsyslog安装不同的“感官”和“发声器”。

2. 全局指令（

   $

   开头的配置）： 这些指令设置了rsyslog的整体行为参数，比如日志文件的默认权限、队列大小、消息模板等。例如

   $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

   就是指定了日志写入文件时使用的默认格式。这些是影响rsyslog“性格”和“习惯”的设定。有时候，一个小小的全局指令调整，就能解决大问题，比如日志性能瓶颈。

3. 日志规则（

   SELECTOR ACTION

   ）： 这是rsyslog的“大脑”，决定了日志的去向。

   • SELECTOR

     ： 这是最关键的部分，由

     facility

     （设施）和

     priority

     （优先级）组成，两者之间用点号

     .

     连接。

     • facility

       ：它告诉rsyslog这条日志是关于什么的。比如

       auth

       是认证相关的，

       mail

       是邮件相关的，

       cron

       是定时任务相关的。还有

       local0

       到

       local7

       ，这些是留给用户自定义应用程序使用的，非常灵活。理解这些设施，能让你快速定位到日志的来源。

     • priority

       ：它表示日志的紧急程度。从

       debug

       （最不紧急的调试信息）到

       emerg

       （系统不可用），清晰地划分了事件的严重性。

       warning

       和

       err

       是我们日常运维中最常关注的。还有一个

       none

       ，表示不处理该设施的任何优先级日志，这在你想排除某些日志时非常有用。
     • 操作符：

       *

       匹配所有优先级或设施，

       =

       精确匹配某个优先级，

       !

       表示排除。比如

       mail.info

       表示邮件设施的info级别日志；

       kern.*

       表示所有内核日志；

       *.err

       表示所有设施的错误日志；

       authpriv.=info

       表示认证相关的info级别日志；

       cron.!warning

       表示cron日志，但排除warning级别。

   • ACTION

     ： 这就是日志的“目的地”或“处理方式”。它可以是一个本地文件路径（如

     /var/log/messages

     ），一个远程日志服务器地址（

     @remote_host:port

     或

     @@remote_host:port

     ），甚至是一个脚本或管道。

我个人在配置rsyslog时，更倾向于在

/etc/rsyslog.d/

目录下创建单独的

.conf

文件来定义特定应用程序或服务的日志规则。比如，我会有一个

20-nginx.conf

专门处理Nginx的日志，一个

30-mysql.conf

处理MySQL的。这种模块化的方式，让配置文件更易读、易维护，避免了单一巨型文件的混乱。当我遇到问题时，我可以很快地定位到是哪个应用程序的日志配置出了问题，而不是在几百行的大文件中大海捞针。

远程日志收集：rsyslog如何将日志发送到中央服务器？

在现代的分布式系统架构中，将日志集中到一个中央服务器进行存储、分析和监控，几乎是标配。rsyslog在这方面表现得非常出色，它既可以作为日志客户端发送日志，也可以作为日志服务器接收日志。我发现，一旦你掌握了远程日志的配置，整个系统的可观测性会大大提升，排查问题也变得高效得多。

1. 作为客户端发送日志

让rsyslog将日志发送到远程服务器，配置起来相对简单，主要是在客户端的配置文件中添加一条或多条规则。

• UDP协议（非可靠传输）：

  *.* @remote_log_server_ip:514

  这里的

  @

  符号表示使用UDP协议。UDP速度快，开销小，但不能保证日志一定能到达目的地，可能会有丢包。对于一些不那么关键、但量大的日志，或者网络环境非常稳定的情况，UDP是个不错的选择。

• TCP协议（可靠传输）：

  *.* @@remote_log_server_ip:514

  这里的

  @@

  符号表示使用TCP协议。TCP提供可靠的连接，能确保日志的完整性和顺序性，但会有更高的网络开销。对于关键的审计日志、安全日志等，我总是推荐使用TCP。

• 高级特性：队列与磁盘辅助队列 (Disk-Assisted Queues - DAQ) 当远程服务器不可用或网络拥堵时，rsyslog可以将日志缓存起来，等网络恢复后再发送。这通过配置队列来实现。

  $ActionQueueFileName rsyslog_fwd_queue # 定义队列文件名
  $ActionQueueMaxDiskSpace 1g           # 最大磁盘空间1GB
  $ActionQueueSaveOnShutdown on          # 关闭时保存队列
  $ActionQueueType LinkedList            # 队列类型
  $ActionResumeRetryCount -1             # 永远重试
  *.* @@remote_log_server_ip:514

  这个配置段通常放在发送规则之前。DAQ是rsyslog一个非常强大的功能，它能有效防止在网络或远程服务器故障时日志丢失。我曾经遇到过远程服务器短暂维护，幸亏配置了DAQ，否则那段时间的日志就全没了，后果不堪设想。

2. 作为服务器接收日志

要让rsyslog服务器接收来自其他主机的日志，需要做两件事：加载相应的输入模块和定义接收规则。

• 加载输入模块： 在服务器的

  /etc/rsyslog.conf

  或

  /etc/rsyslog.d/

  下的配置文件中，确保加载了

  imudp

  和/或

  imtcp

  模块。

  module(load="imudp") # 启用UDP接收
  input(type="imudp" port="514")
  
  module(load="imtcp") # 启用TCP接收
  input(type="imtcp" port="514")

• 定义接收规则： 接收到的日志通常需要根据来源主机或应用程序进行分类存储。我们可以使用模板来动态生成文件名。

  # 定义一个模板，根据远程主机的名称和程序名来命名日志文件
  template(name="RemoteHostLog" type="string"
           string="/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log")
  
  # 定义一个模板，根据远程主机的IP地址和程序名来命名日志文件
  # template(name="RemoteIPLog" type="string"
  #          string="/var/log/remote/%FROMHOST-IP%/%PROGRAMNAME%.log")
  
  # 将所有远程日志应用到这个模板
  *.* ?RemoteHostLog

  这里的

  %HOSTNAME%

  和

  %PROGRAMNAME%

  是rsyslog提供的消息属性，非常方便。

3. 挑战与注意事项

• 防火墙： 这是远程日志最常见的障碍。确保日志服务器的514端口（或其他自定义端口）在防火墙上是开放的，并且客户端可以访问。

  firewalld

  或

  ufw

  都需要相应配置。
• 网络延迟与带宽： 大量的日志可能会占用大量带宽，并可能导致延迟。合理规划网络带宽，并考虑是否需要过滤掉一些不重要的日志。
• 日志量： 中央日志服务器的磁盘空间需要充足，并且要配置好

  logrotate

  ，否则很快就会被填满。
• 时间同步： 确保所有客户端和服务器的时间都通过NTP服务同步，否则日志的时间戳会混乱，给问题排查带来巨大困扰。

我个人在部署远程日志时，总是会先从一个小的客户端测试开始，确保日志能够正确到达服务器并按预期存储。然后逐步扩展到更多的客户端。这个过程需要细心和耐心，但一旦建立起来，它带来的便利是巨大的。

rsyslog日志轮转与维护：如何避免磁盘空间耗尽？

日志文件是服务器运行状态的宝贵记录，但它们也会像雪球一样越滚越大，最终吞噬掉所有可用的磁盘空间。我见过太多次因为

/var/log

目录被日志文件撑爆，导致系统崩溃或服务异常的案例。rsyslog本身只负责写入日志，而日志轮转（Log Rotation）则是解决这个问题的关键，它通过定期压缩、删除旧日志文件来释放磁盘空间。在Linux世界里，

logrotate

就是这个任务的得力助手。

1. logrotate与rsyslog的关系

理解

logrotate

和

rsyslog

之间的关系非常重要。rsyslog持续地向日志文件写入内容，而

logrotate

则在后台默默地工作，当日志文件达到一定条件（如大小、时间）时，它会：

1. 重命名当前的日志文件（例如，

   syslog

   变成

   syslog.1

   ）。
2. 创建一个新的空日志文件，让rsyslog继续写入。
3. 压缩旧的日志文件（

   syslog.1

   变成

   syslog.1.gz

   ）。
4. 删除更老的日志文件（

   syslog.N.gz

   ）。

最关键的一步是通知rsyslog：“嘿，我把你的日志文件移走了，请开始写入一个新的文件！” 否则，rsyslog可能仍然会向旧的（已被重命名或压缩的）文件句柄写入日志，导致新文件是空的，或者日志丢失。

2.

logrotate

的核心配置

logrotate

的配置文件通常位于

/etc/logrotate.conf

，以及

/etc/logrotate.d/

目录下的各个独立配置文件。

/etc/logrotate.conf

是全局配置，而

/etc/logrotate.d/

中的文件则用于针对特定应用程序或服务的日志进行配置。

一个典型的

logrotate

配置块可能看起来像这样：

/var/log/syslog
/var/log/mail.log
{
    rotate 7                # 保留7个旧的日志文件
    daily                   # 每天轮转一次
    missingok               # 如果日志文件不存在，不报错
    notifempty              # 如果日志文件为空，不进行轮转
    delaycompress           # 延迟压缩，下次轮转时才压缩上次的日志文件
    compress                # 压缩旧的日志文件
    postrotate              # 轮转后执行的命令
        /usr/lib/rsyslog/rsyslog-rotate # 通知rsyslog重新打开日志文件
        # 或者更直接的方式：
        # systemctl reload rsyslog > /dev/null 2>&1 || true
    endscript
}

关键配置项解释：

• rotate N

  ： 指定保留多少个旧的轮转日志文件。比如

  rotate 7

  会保留最近7天的日志。

• daily

  /

  weekly

  /

  monthly

  /

  yearly

  ： 定义轮转的频率。

• size SIZE

  ： 除了时间，也可以根据文件大小进行轮转，例如

  size 100M

  表示文件达到100MB就轮转。

• compress

  ： 轮转后对旧日志文件进行压缩，通常使用gzip。

• delaycompress

  ： 这是一个非常实用的选项。它会让

  logrotate

  在当前轮转周期结束时，不立即压缩刚轮转出来的文件，而是等到下一次轮转时才压缩。这对于需要频繁访问最新日志的场景很有用。

• create MODE OWNER GROUP

  ： 轮转后创建新的日志文件，并指定其权限、所有者和组。

• postrotate

  /

  endscript

  ： 这是重中之重！在日志文件轮转完成后，

  logrotate

  会执行

  postrotate

  和

  endscript

  之间的所有命令。对于rsyslog管理的日志，这里通常会包含一个命令来通知rsyslog重新打开其日志文件句柄。最常见的方式是发送一个

  SIGHUP

  信号给rsyslog进程（

  kill -HUP $(cat /var/run/rsyslogd.pid)

  ），或者使用

  systemctl reload rsyslog

  。如果没有这一步，rsyslog会继续向被重命名的旧文件写入日志，导致新文件是空的，或者旧文件持续增长。

3. 调试与维护

• 手动测试： 在修改

  logrotate

  配置后，可以通过

  sudo logrotate -f /etc/logrotate.conf

  来强制执行一次轮转（

  -f

  表示强制）。但请注意，这会立即执行轮转，可能中断日志记录，所以在生产环境要谨慎。
• 日志检查： 轮转后，检查

  /var/log

  目录，看旧的日志文件是否被正确重命名、压缩，新的日志文件是否被创建，并且rsyslog是否正在向新文件写入。
• 监控磁盘使用： 定期监控

  /var/log

  目录的磁盘使用情况，确保

  logrotate

  正在有效地工作。

我个人在配置

logrotate

时，总是会特别留意

postrotate

部分，确保rsyslog能够正确地收到信号并重新打开文件。这个细节如果处理不好，

logrotate

的努力就白费了。通过合理的配置，我们可以确保日志既能被长期保存以供审计和分析，又不会成为系统磁盘空间的负担。