Debian syslog如何兼容性测试

Debian syslog兼容性测试方案

一 测试目标与范围

• 验证本地与远程的协议与端口兼容：确认 UDP/TCP/TLS 可达、端口 514 放通、服务端正确监听。
• 验证消息格式与字段兼容：确保 RFC 3164/5424 的 PRI、TIMESTAMP、HOSTNAME、APP-NAME、PROCID、MSGID、STRUCTURED-DATA 等字段在不同发送端与接收端一致。
• 验证字符集与编码：UTF-8 与可打印 ASCII 正常，特殊字符（如 BOM、换行、制表符）不破坏解析。
• 验证时区与时间戳：统一 UTC 或本地时区策略，确保排序与聚合正确。
• 验证安全与网络策略：防火墙、ACL、NAT、代理、负载均衡对 syslog 流量的影响。
• 验证日志轮转与容量：在高负载与轮转场景下不丢日志、不重复、不截断。

二 测试环境与拓扑

• 组件与版本：Debian 节点安装 rsyslog（常见默认实现），对端可为 rsyslog/syslog-ng/其他兼容实现；必要时准备 TLS 证书链。
• 典型拓扑：
  • 本地回环自检：应用 → 本地 rsyslog → /var/log 与 journal。
  • 远程明文：客户端 rsyslog → 服务器 UDP/TCP/514。
  • 远程加密：客户端 rsyslog → 服务器 TLS/6514。
  • 集群/集中式：多节点 → 中心 rsyslog/ELK/Graylog，验证汇聚、解析与告警链路。

三 测试用例与步骤

• 用例 1 服务与基础连通

  • 步骤：检查并启动服务（sudo systemctl status/start rsyslog）；确认监听（ss -lunpt | grep 514 或 netstat -anp | grep 514）；查看本地日志（tail -f /var/log/syslog；journalctl -f）。
  • 判定：服务运行、端口监听、本机日志可见。

• 用例 2 协议与端口矩阵

  • 步骤：在服务端启用 UDP/TCP 模块与端口（模块如 imudp/imtcp，端口 514），客户端分别用 UDP/TCP 发送；服务端抓包（tcpdump -ni any port 514）与日志比对；如需加密，启用 TLS 模块与端口 6514 并校验证书。
  • 判定：各协议收发一致、无丢包、无截断；TLS 握手与证书校验成功。

• 用例 3 消息格式与字段兼容

  • 步骤：发送包含不同 PRI（facility/severity）、不同 MSGID/STRUCTURED-DATA 的样本；在接收端检查字段映射与解析是否一致；覆盖 RFC 3164 与 RFC 5424 两种格式样例。
  • 判定：字段完整、顺序与类型正确，解析器无报错。

• 用例 4 字符集与特殊字符

  • 步骤：发送含 UTF-8 多字节、制表符/换行、可打印 ASCII 与边界字符（如 NUL）的日志；检查落盘与检索是否一致。
  • 判定：不破坏行结构、可检索、无替换或丢失。

• 用例 5 时区与时间精度

  • 步骤：统一 UTC 或本地时区配置；发送跨时区日志；验证时间戳排序、时区转换与夏令时处理。
  • 判定：时间线正确、排序一致、无歧义。

• 用例 6 日志轮转与容量

  • 步骤：配置 logrotate 高频轮转（如 hourly），在高频率日志下持续发送；检查是否丢日志、是否重复、是否截断。
  • 判定：轮转期间日志连续、索引与外发不受影响。

• 用例 7 安全与网络策略

  • 步骤：在 firewalld/iptables 限制源/目的、端口、协议；通过 NAT/代理/负载均衡 转发；验证端到端可达与完整性。
  • 判定：策略下仍能按策略放行/阻断，业务不受影响。

• 用例 8 集群/集中式汇聚

  • 步骤：多节点按统一模板发送至中心；在 ELK/Graylog 验证解析、索引、告警与仪表板。
  • 判定：汇聚完整、解析正确、告警与检索可用。

四 自动化与批量验证

• 工具与脚本
  • 生成器：logger/Python 的 syslog/rfc5424 库、bash 循环发送不同 facility/level。
  • 抓包与校验：tcpdump 抓包后用脚本解析 PRI/TIMESTAMP/HOSTNAME 等字段并与发送端比对。
  • 结果判定：统一日志格式（JSON）输出测试结果，统计通过率、丢包率、解析错误数。
• 最小示例命令
  • 本地回环：logger -p user.info “compat-test-01”
  • 远程 UDP：logger -p local0.notice -n 192.0.2.10 -P 514 “compat-udp”
  • 远程 TCP：logger -p local0.warning -T -n 192.0.2.10 -P 514 “compat-tcp”
  • 远程 TLS：在 /etc/rsyslog.conf 启用 TLS 模块与端口 6514 后，使用支持 TLS 的 logger 或 rsyslog 模板发送，证书由服务器下发或预置。

五 常见问题与判定要点

• 配置未生效或级别过高：检查 /etc/rsyslog.conf 与 /etc/rsyslog.d/ 规则，必要时将相关规则调为 debug 级别并重启服务（sudo systemctl restart rsyslog）；用 tail -f /var/log/syslog 与 journalctl -f 实时观察。
• 端口未监听或协议不匹配：确认模块加载（如 imudp/imtcp）与端口 514 监听；客户端与服务端协议一致；抓包确认握手与数据到达。
• 字符集与换行导致解析错位：避免未转义的多行与非法字节；必要时使用结构化数据或转义。
• 时区混乱影响排序：统一 UTC 或明确本地时区策略，并在检索侧统一展示规则。
• 轮转与容量导致丢日志：检查 logrotate 配置与磁盘空间（df -h /var/log），确保轮转期间文件句柄与写入不中断。