Debian Syslog的日志存储策略

Debian Syslog 日志存储策略

一 核心机制与组件

• 日志写入与存储由 rsyslog（默认）或 syslog-ng 负责，常见目标为 /var/log/syslog 等文件；Debian 上通常配合 logrotate 做按时间/大小的轮转与压缩，避免日志无限增长。
• 系统同时运行 systemd-journald，以结构化方式持久化内核与系统日志，可通过 journalctl 查询；两者可并行使用，注意避免重复写入同一文件。

二 配置保留策略的标准做法

• 使用 logrotate 管理本地日志（推荐）

  • 典型策略示例（/etc/logrotate.d/syslog 或 /etc/logrotate.d/rsyslog）：

    /var/log/syslog
    /var/log/mail.info
    /var/log/mail.warn
    /var/log/mail.err
    /var/log/mail.log
    /var/log/daemon.log
    /var/log/kern.log
    /var/log/auth.log
    /var/log/user.log
    /var/log/lpr.log
    /var/log/cron.log
    /var/log/debug
    /var/log/syslog.1
    /var/log/messages
    {
        daily
        rotate 7
        compress
        delaycompress
        missingok
        notifempty
        create 0640 root adm
        postrotate
            invoke-rc.d rsyslog rotate > /dev/null
        endscript
    }
    

  • 关键参数含义：
    • daily：按天轮转；也可用 weekly/monthly。
    • rotate N：保留最近 N 个归档。
    • compress / delaycompress：压缩旧日志，delaycompress 常用于保留最近一份未压缩以便排查。
    • missingok / notifempty：文件缺失不报错；空文件不轮转。
    • create 0640 root adm：轮转后重建文件并设定权限/属主。
    • postrotate … endscript：通知 rsyslog 重新打开日志文件（避免继续写入已轮转文件）。
  • 手动测试与生效：
    • 强制执行一次轮转：sudo logrotate -f /etc/logrotate.d/syslog
    • 确认定时任务存在：ls /etc/cron.daily/logrotate（通常由 cron 每日调用）。

• 使用 rsyslog 内置大小/时间控制（可选补充）

  • 可在 /etc/rsyslog.conf 或 /etc/rsyslog.d/*.conf 中设置单文件大小阈值与本地保留天数，例如：

    $SystemLogFileSize 10M
    $SystemLogRotateInterval 7d
    $SystemLogKeepDays 7
    

  • 修改后重启服务：sudo systemctl restart rsyslog。不同版本参数名与行为可能略有差异，建议先查阅对应版本文档。

• 使用 syslog-ng 的目的地轮转（若采用 syslog-ng）

  • 在目的地中直接声明轮转参数，例如：

    destination d_syslog {
        file("/var/log/syslog" template("${ISODATE} ${HOST} ${LEVEL}: ${MESSAGE}\n"));
        rotate(size(10M) keep(30));
    };
    log { source(s_src); destination(d_syslog); };
    

  • 含义：size(10M) 单文件上限 10MB；keep(30) 保留 30 个归档。

三 远程日志与可靠性

• 将日志可靠发往远程服务器（防本机丢失）
  • rsyslog 示例（UDP，简单场景）：

    *.* @192.0.2.10:514
    

    如需加密与可靠传输，建议使用 TLS/SSL 与可靠协议（如 RELP/TLS），并在客户端与服务器端配置证书与权限。
• 启用磁盘队列缓冲（应对远端短暂不可用）
  • 在 rsyslog 动作上启用磁盘队列，将暂未发送的日志落盘，示例：

    action(type="omfwd"
           target="192.0.2.10"
           port="514"
           protocol="tcp"
           action.resumeRetryCount="-1"
           queue.type="LinkedList"
           queue.filename="remotequeue"
           queue.maxDiskSpace="1G"
           queue.saveOnShutdown="on"
    )
    

  • 关键项：queue.type LinkedList、queue.maxDiskSpace 1G、queue.saveOnShutdown on、action.resumeRetryCount -1（持续重试）。

四 安全与运维要点

• 权限与合规
  • 日志文件应仅对 root/adm 可读写，常用权限为 0640 root adm；确保 /var/log 及子目录权限正确，避免因权限不当导致日志写入失败。
• 防火墙与连通性
  • 若接收外部日志，放行 514/UDP 与/或 514/TCP；若使用 TLS，还需开放相应端口并校验证书。示例（UFW）：

    sudo ufw allow 514/tcp
    sudo ufw allow 514/udp
    sudo ufw reload
    

  • 注意：生产环境更推荐 TLS 与访问控制，避免明文传输。
• 监控与容量
  • 定期核查磁盘空间：df -h；为日志分区设置合理告警阈值。
  • 结合 journalctl 与日志分析工具（如 Logstash/Graylog）做集中化存储、检索与告警，提升可观测性与可靠性。