Debian Syslog故障排查有哪些方法

Debian Syslog故障排查方法

一 快速定位与基础检查

• 查看实时日志与内核消息：使用tail -f /var/log/syslog观察最新系统日志；用dmesg查看内核环缓冲；在systemd系统用journalctl -f实时跟踪日志、journalctl -u rsyslog查看服务自身日志。
• 确认服务运行状态：执行systemctl status rsyslog，若未运行则systemctl start rsyslog，并设为开机自启systemctl enable rsyslog。
• 检查关键配置是否启用：核对**/etc/rsyslog.conf与/etc/rsyslog.d/下是否存在类似auth,authpriv.* /var/log/auth.log**、kern. /var/log/kern.log*、. /var/log/syslog等未被注释的规则。
• 检查磁盘空间：执行df -h，确保**/var/log**所在分区未满，避免因空间不足导致日志写入失败。
• 调整日志级别做验证：在配置中临时将相关规则日志级别调为debug，重启后在**/var/log/syslog**观察更详细输出，定位是否因级别过高导致“看不到日志”。

二 常见故障场景与处理

• 服务未启动或崩溃：查看systemctl status rsyslog与journalctl -xeu rsyslog的输出定位启动失败原因；修复后systemctl restart rsyslog并再次验证。
• 配置错误导致无日志：逐条核对**/etc/rsyslog.conf与/etc/rsyslog.d/**规则是否被注释或语法错误；必要时恢复默认配置并逐步添加自定义规则。
• 日志级别过高：将相关规则的级别从较高（如error）临时调至debug，重启服务后验证是否恢复记录。
• 磁盘空间不足：清理旧日志或扩容分区，确保**/var/log**可写。
• 安全模块限制：若系统启用SELinux，可临时执行setenforce 0验证是否受限；若恢复正常，应改为调整SELinux策略而非长期关闭。
• 网络设备仅支持UDP 514：在日志服务器上用iptables将514端口转发到非特权端口（如1514）并在rsyslog中监听该端口；例如：
  • 转发规则：iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514
  • 客户端发送：在设备或应用侧使用**@192.0.2.10:514**（UDP）
    提示：生产环境优先使用更安全的TCP/TLS方案。

三 配置验证与日志有效性测试

• 修改配置后验证：每次变更**/etc/rsyslog.conf或/etc/rsyslog.d/后执行systemctl restart rsyslog**，再用journalctl -u rsyslog与tail -f /var/log/syslog确认无报错且日志按预期写入。
• 本地写入自检：在终端生成测试日志并观察是否落盘，例如：
  • logger -p user.info “syslog self-test”
  • grep “syslog self-test” /var/log/syslog
• 远程接收自检：从另一台主机或网络设备向服务器514/UDP或配置的端口发送日志，确认服务器接收并在相应文件中出现。

四 日志轮转与空间管理

• 检查与手动轮转：查看**/var/log占用（如du -sh /var/log**），必要时对大文件做临时清理（如truncate -s 0 /var/log/syslog），并验证logrotate是否正常工作。
• 配置示例与测试：在**/etc/logrotate.d/rsyslog**中设置轮转策略，例如：
  • /var/log/syslog { size 100M; rotate 4; compress; delaycompress; missingok; notifempty; create 640 syslog adm }
  • 测试配置：logrotate -d /etc/logrotate.d/rsyslog（干跑）
  • 强制执行：logrotate -f /etc/logrotate.d/rsyslog
• 建议：避免直接删除正在写入的日志文件，优先使用logrotate或truncate以让进程保持对文件的句柄。

五 常用命令速查表