Ubuntu Syslog配置指南：如何优化日志管理

Ubuntu Syslog配置与优化指南

一 基础架构与关键概念

• Ubuntu 默认使用 rsyslog 作为系统日志守护进程，配合 systemd-journald 提供结构化日志能力。rsyslog 的主配置位于 /etc/rsyslog.conf，并按需在 /etc/rsyslog.d/ 下添加规则文件；日志轮转由 logrotate 管理（全局 /etc/logrotate.conf，服务专属在 /etc/logrotate.d/）。日志选择器遵循 facility.level 语法，常见 facility 包括 auth、authpriv、cron、daemon、kern、mail、user、local0–local7，常见 level 从低到高为 debug、info、notice、warning、err、crit、alert、emerg。这些概念有助于精确分流与过滤日志。

二 快速优化清单

• 调整日志级别与分流：在生产环境中，将全局或无关紧要的日志从 info 收敛到 warning 或更高，减少噪声。例如仅记录认证与计划任务的关键事件，避免把调试信息写入长期文件。
• 启用日志轮转与压缩：为 /var/log/syslog 等设置基于大小或时间的轮转策略，保留有限份数并压缩旧日志，防止磁盘被占满。
• 配置远程集中日志：将关键主机日志通过 UDP/TCP 514 发送到集中式日志服务器，便于审计与统一分析。
• 管理 journald 存储：限制 systemd-journald 的日志体积与保留天数，避免长期运行导致日志膨胀。
• 定期巡检与清理：监控 /var/log 容量，清理历史压缩包与无效日志，保持健康的磁盘使用率。

三 关键配置示例

• 调整 rsyslog 日志级别与分流（示例）

  • 将全局默认收敛到 warning，并单独保留认证与计划任务日志：

    *.warning;mail.none;authpriv.none;cron.none  /var/log/syslog
    auth,authpriv.*                              /var/log/auth.log
    cron.*                                      /var/log/cron.log
    kern.*                                      /var/log/kern.log
    

  • 如需仅记录某级别，可使用等号操作：authpriv.=warning /var/log/auth-warn.log。修改后执行：sudo systemctl restart rsyslog 使配置生效。

• 配置日志轮转（/etc/logrotate.d/rsyslog 示例）

  /var/log/syslog {
      size 100M
      rotate 7
      compress
      delaycompress
      missingok
      notifempty
      create 0640 root adm
      postrotate
          /usr/lib/rsyslog/rsyslog-rotate
      endscript
  }
  

  • 说明：当 /var/log/syslog 达到 100MB 触发轮转，保留 7 份并压缩；postrotate 通知 rsyslog 重新打开日志文件。测试可用：sudo logrotate -d /etc/logrotate.d/rsyslog（调试），sudo logrotate -f /etc/logrotate.d/rsyslog（强制执行）。

• 远程日志转发

  • UDP 转发（简单、低开销）：*.* @192.0.2.10:514
  • TCP 转发（更可靠）：*.* @@192.0.2.10:514
  • 建议将转发规则写入 /etc/rsyslog.d/forward.conf，并在完成后重启 rsyslog：sudo systemctl restart rsyslog。注意网络与防火墙策略。

• 限制 journald 日志体积

  • 按大小限制：sudo journalctl --vacuum-size 500M
  • 按时间限制：sudo journalctl --vacuum-time 7d
  • 持久化限制（编辑 /etc/systemd/journald.conf）：设置 SystemMaxUse=500M、MaxRetentionSec=7day，然后重启：sudo systemctl restart systemd-journald。这将避免 journal 长期膨胀。

四 维护与排错

• 配置语法校验与热加载：修改 rsyslog 规则后，先执行语法检查 sudo rsyslogd -N1，再重启服务 sudo systemctl restart rsyslog，确保不中断业务。
• 轮转与清理的验证：使用 sudo logrotate -d 做干跑验证，确认不会误删或漏轮转；必要时强制执行并观察 /var/log 是否按策略生成与压缩归档。
• 容量巡检与临时处置：当磁盘告警时，先定位大文件 sudo du -sh /var/log，必要时临时清理旧压缩日志或执行 sudo journalctl --vacuum-size 100M 快速回收空间，随后再完善轮转与级别策略。