CentOS Syslog如何故障预防

CentOS Syslog 故障预防实用清单

一 容量与速率限制预防

• 调整内核日志缓冲与速率限制，避免短时高并发日志被丢弃。编辑 /etc/systemd/journald.conf，将 RateLimitInterval=30s、RateLimitBurst=10000（或按业务提高到更高值；若业务允许，可将 RateLimitBurst=0 关闭限流），随后执行 systemctl restart systemd-journald。
• 调整 rsyslog 从 journal 读取的速率限制。编辑 /etc/rsyslog.conf，设置 $imjournalRatelimitInterval 30、$imjournalRatelimitBurst 10000（或 $imjournalRatelimitInterval 0 关闭限流），随后执行 systemctl restart rsyslog。
• 预防磁盘被日志撑满：配置 logrotate 按天轮转并保留足够历史，例如保留 52 周；为关键日志设置 size 100M 等阈值触发轮转；必要时使用 copytruncate 减少重启依赖（权衡一致性）。示例（/etc/logrotate.d/syslog）：
  /var/log/messages {
  daily
  rotate 52
  compress
  delaycompress
  missingok
  notifempty
  create 0640 root adm
  size 100M
  }
  执行 logrotate -f /etc/logrotate.d/syslog 验证，并确保 /etc/cron.daily/logrotate 存在且可执行。

二 高可用与传输可靠性

• 部署集中式 Syslog 服务器，并配置主备或多活目标，避免单点故障导致日志丢失。
• 传输层优先使用 TCP 或 TLS/SSL 加密传输，提升可靠性与安全性；必要时配置多个 Syslog 服务器以冗余。
• 客户端与服务器侧均验证连通性与监听：在客户端使用如 . @@remote_host:514（TCP）或 . @remote_host:514（UDP）；在服务器启用相应模块（如 imudp/imtcp）并监听 514 端口；防火墙放行对应端口（UDP/TCP 514 或 firewalld 的 syslog 服务）。

三 安全与完整性

• 强化访问控制与权限：日志文件与目录仅对必要主体可读写，典型权限为 0640 root adm；结合 SELinux 策略确保 rsyslog/journald 正常写入。
• 启用传输加密（TLS/SSL）与完整性校验，必要时对关键日志引入数字签名或哈希校验，提升抗篡改与可追溯能力。
• 建立审计与变更管控：启用 auditd 记录对 /etc/rsyslog.conf、/etc/rsyslog.d/、/etc/systemd/journald.conf 等配置文件的变更；定期核查与升级 rsyslog、journald 及相关依赖，修复已知漏洞。

四 监控 告警与演练

• 持续监控 Syslog 服务状态与队列：使用 systemctl status rsyslog、journalctl -u rsyslog 观察错误与重启；对远程传输失败、磁盘空间阈值、日志积压等进行主动告警。
• 建立集中化监控与分析：将日志接入 ELK Stack（Elasticsearch, Logstash, Kibana） 或 Splunk，配置仪表盘与阈值告警，缩短故障发现与定位时间。
• 例行演练与容量评估：定期执行配置语法检查、轮转演练与故障注入（如短暂断网/磁盘满），验证限流、重传、切换与恢复流程的有效性。

五 快速检查清单