CentOS Syslog日志存储策略

CentOS Syslog日志存储策略主要涉及日志存储路径、命名规则、轮转机制及安全配置，以下是核心内容：

通过rsyslog配置文件（/etc/rsyslog.conf或/etc/rsyslog.d/*.conf）定义，常用策略：

按IP地址分类存储：
定义模板$template Remote,"/var/log/syslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"，将不同客户端IP的日志存入独立目录，如/var/log/syslog/192.168.1.100/192.168.1.100_2025-08-26.log。
按日志类型分类：
例如将安全日志存至/var/log/secure，内核日志存至/var/log/kern.log，通过配置authpriv.* /var/log/secure等规则实现。

轮转配置：
通过logrotate工具（主配置文件/etc/logrotate.conf，系统日志配置/etc/logrotate.d/syslog）设置：
- 时间间隔：daily（每日）、weekly（每周）、monthly（每月）。
- 保留份数：rotate 7（保留7天日志）。
- 压缩与清理：compress（压缩旧日志）、missingok（忽略丢失文件）、notifempty（空文件不轮转）。
  示例配置：
```
/var/log/messages {  
    daily  
    rotate 7  
    compress  
    missingok  
    notifempty  
    create 640 root adm  
}  
```
远程备份：
结合rsync或scp将日志定期备份至远程服务器，例如：
rsync -av /var/log/syslog/ backup-server:/backup/syslog/，并通过cron定时执行。

目录权限：
日志目录（如/var/log/syslog/）权限设置为750，属主为root，属组为adm，确保只有授权用户可访问。
日志文件权限：
单个日志文件权限通常为640，防止未授权修改。
防火墙配置：
若为远程日志服务器，需开放UDP/TCP 514端口：
firewall-cmd --add-port=514/udp --permanent。

文件/命令	用途
`/etc/rsyslog.conf`	主配置文件，定义日志输入（如UDP/TCP监听）、存储路径、过滤规则
`/etc/logrotate.d/syslog`	日志轮转配置，控制日志的轮转周期、保留天数、压缩等
`/var/log/messages`	系统默认日志文件（非rsyslog场景），记录常规系统消息

查看日志存储：
ls /var/log/syslog/（按IP分类场景）或tail -f /var/log/messages。
测试配置：
修改配置后重启rsyslog服务：systemctl restart rsyslog，并发送测试日志（如logger "Test message"）验证。

参考来源：

最新问答