Linux如何管理系统日志服务rsyslog

rsyslog是Linux系统日志管理的核心服务，通过配置文件（/etc/rsyslog.conf和/etc/rsyslog.d/）定义模块、全局指令和日志规则，结合systemctl命令实现服务控制。日志规则由facility.priority选择器和动作（如写文件、发远程）组成，支持本地分类存储与远程集中日志（UDP/TCP），并可通过logrotate实现日志轮转，避免磁盘耗尽，确保系统可观测性与稳定性。

Linux系统日志服务rsyslog的管理，核心在于理解其配置文件结构、日志规则的定义，以及如何通过

systemctl

解决方案

管理rsyslog主要围绕以下几个方面展开：配置文件编辑、服务状态控制、日志规则定义与调试。

1. 配置文件的核心理解与编辑 rsyslog的主要配置文件是

/etc/rsyslog.conf

/etc/rsyslog.d/

.conf

一个典型的rsyslog配置文件包含几个部分：

• Modules (模块加载): 比如

  $ModLoad imuxsock

  登录后复制
  用于接收来自Unix socket的本地系统日志，

  $ModLoad imklog

  登录后复制
  用于接收内核日志。如果你想接收远程日志，就需要加载

  imudp

  登录后复制
  或

  imtcp

  登录后复制
  模块。
• Global Directives (全局指令): 例如

  $ActionFileDefaultTemplate

  登录后复制
  定义了写入文件的默认模板，

  $MainMsgQueueSize

  登录后复制
  定义了主消息队列的大小。
• Rules (日志规则): 这是rsyslog的核心，定义了“什么日志（facility.priority）”应该“做什么（action）”。

2. 服务管理 rsyslog作为一个systemd服务，其管理非常直观：

• 查看状态：

  sudo systemctl status rsyslog

  登录后复制
• 启动服务：

  sudo systemctl start rsyslog

  登录后复制
• 停止服务：

  sudo systemctl stop rsyslog

  登录后复制
• 重启服务（应用新配置）：

  sudo systemctl restart rsyslog

  登录后复制
• 重新加载配置（不中断服务）：

  sudo systemctl reload rsyslog

  登录后复制
  (并非所有配置更改都支持reload，有些需要restart)
• 开机自启：

  sudo systemctl enable rsyslog

  登录后复制
• 禁止开机自启：

  sudo systemctl disable rsyslog

  登录后复制

3. 定义日志规则 日志规则的格式通常是

SELECTOR ACTION

• SELECTOR: 由

  facility.priority

  登录后复制
  组成。
  • Facility (设施): 标识日志的来源，如

    auth

    登录后复制
    (认证),

    cron

    登录后复制
    (定时任务),

    daemon

    登录后复制
    (守护进程),

    kern

    登录后复制
    (内核),

    mail

    登录后复制
    (邮件),

    syslog

    登录后复制
    (rsyslog本身),

    user

    登录后复制
    (用户进程),

    local0

    登录后复制
    到

    local7

    登录后复制
    (自定义使用)。
  • Priority (优先级): 标识日志的严重程度，从低到高依次是

    debug

    登录后复制
    ,

    info

    登录后复制
    ,

    notice

    登录后复制
    ,

    warning

    登录后复制
    ,

    err

    登录后复制
    ,

    crit

    登录后复制
    ,

    alert

    登录后复制
    ,

    emerg

    登录后复制
    。还有一个特殊的

    none

    登录后复制
    ，表示不记录该设施的任何优先级日志。
  • 可以通过

    *

    登录后复制
    匹配所有，

    =

    登录后复制
    精确匹配，

    !

    登录后复制
    排除特定优先级。
  • 多个选择器可以用分号

    ;

    登录后复制
    分隔。
• ACTION: 定义日志的处理方式。
  • 写入本地文件：

    /var/log/syslog

    登录后复制
  • 发送到远程服务器：

    @remote_host:port

    登录后复制
    (UDP),

    @@remote_host:port

    登录后复制
    (TCP)
  • 发送到用户终端：

    user1,user2

    登录后复制
  • 执行程序：

    |/path/to/script

    登录后复制

例如，将所有邮件相关的警告及以上级别的日志写入

/var/log/mail.warn

mail.warning /var/log/mail.warn

将所有非认证相关的info级别日志发送到远程服务器

logserver.example.com

*.info;authpriv.none @logserver.example.com:514

4. 调试与测试 在应用新的配置之前，使用

sudo rsyslogd -N1

-N

1

rsyslog配置文件究竟怎么读？（如何理解其核心结构与规则）

初次接触rsyslog的配置文件，尤其是

/etc/rsyslog.conf

它的核心结构可以概括为三个主要部分：

1. 模块加载（

   $ModLoad

   登录后复制
   ）： 这部分定义了rsyslog能“听”和“说”什么。比如

   $ModLoad imuxsock

   登录后复制
   让它能接收本地系统进程通过Unix socket发出的日志（这是大多数本地日志的来源），

   $ModLoad imklog

   登录后复制
   则负责处理内核日志。如果你想让rsyslog具备远程接收或发送日志的能力，你就得加载

   imudp

   登录后复制
   （UDP协议）或

   imtcp

   登录后复制
   （TCP协议）模块。这就像是给rsyslog安装不同的“感官”和“发声器”。

2. 全局指令（

   $

   登录后复制
   开头的配置）： 这些指令设置了rsyslog的整体行为参数，比如日志文件的默认权限、队列大小、消息模板等。例如

   $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

   登录后复制
   就是指定了日志写入文件时使用的默认格式。这些是影响rsyslog“性格”和“习惯”的设定。有时候，一个小小的全局指令调整，就能解决大问题，比如日志性能瓶颈。

3. 日志规则（

   SELECTOR ACTION

   登录后复制
   ）： 这是rsyslog的“大脑”，决定了日志的去向。

   • SELECTOR

     登录后复制
     ： 这是最关键的部分，由

     facility

     登录后复制
     （设施）和

     priority

     登录后复制
     （优先级）组成，两者之间用点号

     .

     登录后复制
     连接。

     • facility

       登录后复制
       ：它告诉rsyslog这条日志是关于什么的。比如

       auth

       登录后复制
       是认证相关的，

       mail

       登录后复制
       是邮件相关的，

       cron

       登录后复制
       是定时任务相关的。还有

       local0

       登录后复制
       到

       local7

       登录后复制
       ，这些是留给用户自定义应用程序使用的，非常灵活。理解这些设施，能让你快速定位到日志的来源。

     • priority

       登录后复制
       ：它表示日志的紧急程度。从

       debug

       登录后复制
       （最不紧急的调试信息）到

       emerg

       登录后复制
       （系统不可用），清晰地划分了事件的严重性。

       warning

       登录后复制
       和

       err

       登录后复制
       是我们日常运维中最常关注的。还有一个

       none

       登录后复制
       ，表示不处理该设施的任何优先级日志，这在你想排除某些日志时非常有用。
     • 操作符：

       *

       登录后复制
       匹配所有优先级或设施，

       =

       登录后复制
       精确匹配某个优先级，

       !

       登录后复制
       表示排除。比如

       mail.info

       登录后复制
       表示邮件设施的info级别日志；

       kern.*

       登录后复制
       表示所有内核日志；

       *.err

       登录后复制
       表示所有设施的错误日志；

       authpriv.=info

       登录后复制
       表示认证相关的info级别日志；

       cron.!warning

       登录后复制
       表示cron日志，但排除warning级别。

   • ACTION

     登录后复制
     ： 这就是日志的“目的地”或“处理方式”。它可以是一个本地文件路径（如

     /var/log/messages

     登录后复制
     ），一个远程日志服务器地址（

     @remote_host:port

     登录后复制
     或

     @@remote_host:port

     登录后复制
     ），甚至是一个脚本或管道。

我个人在配置rsyslog时，更倾向于在

/etc/rsyslog.d/

.conf

20-nginx.conf

30-mysql.conf

远程日志收集：rsyslog如何将日志发送到中央服务器？

在现代的分布式系统架构中，将日志集中到一个中央服务器进行存储、分析和监控，几乎是标配。rsyslog在这方面表现得非常出色，它既可以作为日志客户端发送日志，也可以作为日志服务器接收日志。我发现，一旦你掌握了远程日志的配置，整个系统的可观测性会大大提升，排查问题也变得高效得多。

1. 作为客户端发送日志

让rsyslog将日志发送到远程服务器，配置起来相对简单，主要是在客户端的配置文件中添加一条或多条规则。

• UDP协议（非可靠传输）：

  *.* @remote_log_server_ip:514

  登录后复制
  这里的

  @

  登录后复制
  符号表示使用UDP协议。UDP速度快，开销小，但不能保证日志一定能到达目的地，可能会有丢包。对于一些不那么关键、但量大的日志，或者网络环境非常稳定的情况，UDP是个不错的选择。

• TCP协议（可靠传输）：

  *.* @@remote_log_server_ip:514

  登录后复制
  这里的

  @@

  登录后复制
  符号表示使用TCP协议。TCP提供可靠的连接，能确保日志的完整性和顺序性，但会有更高的网络开销。对于关键的审计日志、安全日志等，我总是推荐使用TCP。

• 高级特性：队列与磁盘辅助队列 (Disk-Assisted Queues - DAQ) 当远程服务器不可用或网络拥堵时，rsyslog可以将日志缓存起来，等网络恢复后再发送。这通过配置队列来实现。

  $ActionQueueFileName rsyslog_fwd_queue # 定义队列文件名
  $ActionQueueMaxDiskSpace 1g           # 最大磁盘空间1GB
  $ActionQueueSaveOnShutdown on          # 关闭时保存队列
  $ActionQueueType LinkedList            # 队列类型
  $ActionResumeRetryCount -1             # 永远重试
  *.* @@remote_log_server_ip:514

  登录后复制

  这个配置段通常放在发送规则之前。DAQ是rsyslog一个非常强大的功能，它能有效防止在网络或远程服务器故障时日志丢失。我曾经遇到过远程服务器短暂维护，幸亏配置了DAQ，否则那段时间的日志就全没了，后果不堪设想。

2. 作为服务器接收日志

要让rsyslog服务器接收来自其他主机的日志，需要做两件事：加载相应的输入模块和定义接收规则。

冠龙科技手机企业网站管理系统2016

冠龙科技手机企业网站管理系统是基于ASP+ACCESS技术开发的电子商务平台,属于全自动化、全智能的在线方式管理、维护、更新的网站管理系统。此系统直接上传到你的网站空间就可以使用了。完全后台操作。后台路径：/admin后台用户及密码均为 admin更新日志：1、增加在线客服系统支持网页在线客服及QQ\旺旺等2、修改产品展示的排序错误3、增加了后台修改前台图片的功能4、网站LOGO及版权信息后台自定

0

查看详情

• 加载输入模块： 在服务器的

  /etc/rsyslog.conf

  登录后复制
  或

  /etc/rsyslog.d/

  登录后复制
  下的配置文件中，确保加载了

  imudp

  登录后复制
  和/或

  imtcp

  登录后复制
  模块。

  module(load="imudp") # 启用UDP接收
  input(type="imudp" port="514")
  
  module(load="imtcp") # 启用TCP接收
  input(type="imtcp" port="514")

  登录后复制

• 定义接收规则： 接收到的日志通常需要根据来源主机或应用程序进行分类存储。我们可以使用模板来动态生成文件名。

  # 定义一个模板，根据远程主机的名称和程序名来命名日志文件
  template(name="RemoteHostLog" type="string"
           string="/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log")
  
  # 定义一个模板，根据远程主机的IP地址和程序名来命名日志文件
  # template(name="RemoteIPLog" type="string"
  #          string="/var/log/remote/%FROMHOST-IP%/%PROGRAMNAME%.log")
  
  # 将所有远程日志应用到这个模板
  *.* ?RemoteHostLog

  登录后复制

  这里的

  %HOSTNAME%

  登录后复制
  和

  %PROGRAMNAME%

  登录后复制
  是rsyslog提供的消息属性，非常方便。

3. 挑战与注意事项

• 防火墙： 这是远程日志最常见的障碍。确保日志服务器的514端口（或其他自定义端口）在防火墙上是开放的，并且客户端可以访问。

  firewalld

  登录后复制
  或

  ufw

  登录后复制
  都需要相应配置。
• 网络延迟与带宽： 大量的日志可能会占用大量带宽，并可能导致延迟。合理规划网络带宽，并考虑是否需要过滤掉一些不重要的日志。
• 日志量： 中央日志服务器的磁盘空间需要充足，并且要配置好

  logrotate

  登录后复制
  ，否则很快就会被填满。
• 时间同步： 确保所有客户端和服务器的时间都通过NTP服务同步，否则日志的时间戳会混乱，给问题排查带来巨大困扰。

我个人在部署远程日志时，总是会先从一个小的客户端测试开始，确保日志能够正确到达服务器并按预期存储。然后逐步扩展到更多的客户端。这个过程需要细心和耐心，但一旦建立起来，它带来的便利是巨大的。

rsyslog日志轮转与维护：如何避免磁盘空间耗尽？

日志文件是服务器运行状态的宝贵记录，但它们也会像雪球一样越滚越大，最终吞噬掉所有可用的磁盘空间。我见过太多次因为

/var/log

logrotate

1. logrotate与rsyslog的关系

理解

logrotate

rsyslog

logrotate

1. 重命名当前的日志文件（例如，

   syslog

   登录后复制
   变成

   syslog.1

   登录后复制
   ）。
2. 创建一个新的空日志文件，让rsyslog继续写入。
3. 压缩旧的日志文件（

   syslog.1

   登录后复制
   变成

   syslog.1.gz

   登录后复制
   ）。
4. 删除更老的日志文件（

   syslog.N.gz

   登录后复制
   ）。

最关键的一步是通知rsyslog：“嘿，我把你的日志文件移走了，请开始写入一个新的文件！” 否则，rsyslog可能仍然会向旧的（已被重命名或压缩的）文件句柄写入日志，导致新文件是空的，或者日志丢失。

2.

logrotate

logrotate

/etc/logrotate.conf

/etc/logrotate.d/

/etc/logrotate.conf

/etc/logrotate.d/

一个典型的

logrotate

/var/log/syslog
/var/log/mail.log
{
    rotate 7                # 保留7个旧的日志文件
    daily                   # 每天轮转一次
    missingok               # 如果日志文件不存在，不报错
    notifempty              # 如果日志文件为空，不进行轮转
    delaycompress           # 延迟压缩，下次轮转时才压缩上次的日志文件
    compress                # 压缩旧的日志文件
    postrotate              # 轮转后执行的命令
        /usr/lib/rsyslog/rsyslog-rotate # 通知rsyslog重新打开日志文件
        # 或者更直接的方式：
        # systemctl reload rsyslog > /dev/null 2>&1 || true
    endscript
}

关键配置项解释：

• rotate N

  登录后复制
  ： 指定保留多少个旧的轮转日志文件。比如

  rotate 7

  登录后复制
  会保留最近7天的日志。

• daily

  登录后复制
  /

  weekly

  登录后复制
  /

  monthly

  登录后复制
  /

  yearly

  登录后复制
  ： 定义轮转的频率。

• size SIZE

  登录后复制
  ： 除了时间，也可以根据文件大小进行轮转，例如

  size 100M

  登录后复制
  表示文件达到100MB就轮转。

• compress

  登录后复制
  ： 轮转后对旧日志文件进行压缩，通常使用gzip。

• delaycompress

  登录后复制
  ： 这是一个非常实用的选项。它会让

  logrotate

  登录后复制
  在当前轮转周期结束时，不立即压缩刚轮转出来的文件，而是等到下一次轮转时才压缩。这对于需要频繁访问最新日志的场景很有用。

• create MODE OWNER GROUP

  登录后复制
  ： 轮转后创建新的日志文件，并指定其权限、所有者和组。

• postrotate

  登录后复制
  /

  endscript

  登录后复制
  ： 这是重中之重！在日志文件轮转完成后，

  logrotate

  登录后复制
  会执行

  postrotate

  登录后复制
  和

  endscript

  登录后复制
  之间的所有命令。对于rsyslog管理的日志，这里通常会包含一个命令来通知rsyslog重新打开其日志文件句柄。最常见的方式是发送一个

  SIGHUP

  登录后复制
  信号给rsyslog进程（

  kill -HUP $(cat /var/run/rsyslogd.pid)

  登录后复制
  ），或者使用

  systemctl reload rsyslog

  登录后复制
  。如果没有这一步，rsyslog会继续向被重命名的旧文件写入日志，导致新文件是空的，或者旧文件持续增长。

3. 调试与维护

• 手动测试： 在修改

  logrotate

  登录后复制
  配置后，可以通过

  sudo logrotate -f /etc/logrotate.conf

  登录后复制
  来强制执行一次轮转（

  -f

  登录后复制
  表示强制）。但请注意，这会立即执行轮转，可能中断日志记录，所以在生产环境要谨慎。
• 日志检查： 轮转后，检查

  /var/log

  登录后复制
  目录，看旧的日志文件是否被正确重命名、压缩，新的日志文件是否被创建，并且rsyslog是否正在向新文件写入。
• 监控磁盘使用： 定期监控

  /var/log

  登录后复制
  目录的磁盘使用情况，确保

  logrotate

  登录后复制
  正在有效地工作。

我个人在配置

logrotate

postrotate

logrotate

以上就是Linux如何管理系统日志服务rsyslog的详细内容，更多请关注php中文网其它相关文章！