如何使用CentOS Syslog进行系统优化

CentOS Syslog 性能与稳定性优化指南

一 基线检查与关键参数

• 确认服务与自启状态：执行 systemctl status rsyslog && systemctl enable rsyslog，确保 rsyslog 正常运行并随系统启动。
• 精简与合并规则：检查 /etc/rsyslog.conf 与 /etc/rsyslog.d/ 下的配置，去除重复、无效或过于细粒度的规则，减少不必要的输入/输出模块加载，降低内存与 CPU 开销。
• 调整日志级别：将应用与系统日志级别从 debug 收敛到 info/warn，在不影响排障的前提下显著减少日志量。
• 启用异步与队列：在 rsyslog 中开启异步 I/O 与队列处理，避免应用线程被同步写日志阻塞。
• 远程传输选择：跨机房或不可靠网络优先使用 TCP 或 TLS，提升可靠性与顺序性。
• 资源限制：通过 systemd 为 rsyslog 设置文件描述符上限（如 LimitNOFILE=65536），防止高并发时“Too many open files”。
• 版本与补丁：保持 rsyslog 与系统组件为最新稳定版本，获取性能修复与改进。

二 缓解日志洪峰与丢日志

• 理解双通道瓶颈：在 CentOS/RHEL 7+ 上，应用日志通常先由 journald 收集，再由 rsyslog 写入文件/远程。两者默认都有速率限制，短时高并发会被丢弃，典型现象如：
  journal: Suppressed 149 messages from /system.slice/postfix.service。
• 调整 journald 限流：编辑 /etc/systemd/journald.conf，将 [Journal] 下的 RateLimitInterval=30s、RateLimitBurst=10000（示例值，可按峰值×2~3 规划），执行 systemctl restart systemd-journald。
• 调整 rsyslog 对 journal 的限流：在 /etc/rsyslog.conf 增加 $imjournalRatelimitInterval 30 与 $imjournalRatelimitBurst 10000，执行 systemctl restart rsyslog。
• 极端场景（审计/合规要求零丢）：可将两者限流关闭（RateLimitBurst=0 与 $imjournalRatelimitInterval 0），但需评估磁盘 I/O 与存储压力。

三 日志轮转与存储策略

• 全局策略：在 /etc/logrotate.conf 采用合理的基线，如 daily、rotate 7、compress、include /etc/logrotate.d/*，确保旧日志及时压缩归档。
• 按服务拆分：在 /etc/logrotate.d/ 为关键服务单独配置，明确 create 640 <user> <group> 保证权限一致，例如：
  /var/log/nginx/*.log { daily; rotate 7; compress; missingok; notifempty; create 640 nginx adm; size 100M }。
• 大小触发与一致性：对波动大的日志加入 size 100M 等阈值，避免单文件过大影响 I/O 与检索。
• 不停服轮转：对不支持信号重开的老服务可用 copytruncate，但更推荐配合服务的“reopen logs”机制或采用能无缝切换的方案。
• 验证与回放：变更后用 logrotate -f /etc/logrotate.conf 验证，并通过 tail -f /var/log/messages 观察轮转是否按预期执行。

四 远程集中与模板治理

• 可靠传输：远程日志优先 TCP/TLS，在 rsyslog.conf 或 rsyslog.d/ 中使用 action(type="omfwd" target="log.example.com" port="514" protocol="tcp" ...)，必要时开启队列与重试。
• 模板统一：定义结构化模板，便于检索与解析，例如：
  $template RFC3339,"%TIMESTAMP:::date-rfc3339% %HOSTNAME% %syslogtag%%msg%\n"
  应用模板：*.* /var/log/central.log;RFC3339。
• 安全与合规：对外传输启用 TLS 证书校验，避免明文泄露；对敏感字段可在模板中脱敏或后置处理。
• 监控与告警：结合 journalctl -u rsyslog -f、日志速率与磁盘使用率监控，出现异常（如队列堆积、远端不可达）及时告警。

五 快速检查清单与常用命令

• 快速检查清单：
  • 服务状态与自启：systemctl status rsyslog && systemctl enable rsyslog
  • 规则精简：审查 /etc/rsyslog.conf 与 /etc/rsyslog.d/，去除冗余规则与模块
  • 日志级别：收敛至 info/warn，避免 debug 泛滥
  • 传输协议：远程优先 TCP/TLS
  • 资源限制：为 rsyslog 设置 LimitNOFILE=65536（或更高）
  • 版本：保持 rsyslog 与相关组件最新稳定
• 常用命令：
  • 实时查看：journalctl -u rsyslog -f
  • 强制轮转：logrotate -f /etc/logrotate.conf
  • 重启服务：systemctl restart rsyslog、systemctl restart systemd-journald
  • 权限与属主：chown root:adm /var/log/messages; chmod 640 /var/log/messages
  • 远程连通性：nc -vz log.example.com 514 或 openssl s_client -connect log.example.com:514 -quiet