Ubuntu18.04 LTS如何安装Rsyslog

# Ubuntu 18.04 LTS如何安装Rsyslog

## 前言

Rsyslog是Linux系统中最常用的日志管理工具之一，它提供了高性能、高安全性和模块化的日志处理功能。作为syslog的增强版，Rsyslog不仅支持传统的syslog协议，还能处理多种日志格式，支持数据库存储、日志过滤和转发等高级功能。在Ubuntu 18.04 LTS这个长期支持版本中，Rsyslog作为默认的日志管理工具被预装，但许多用户可能需要对其进行定制化配置以满足特定需求。

本文将详细介绍在Ubuntu 18.04 LTS系统上安装、配置和使用Rsyslog的完整流程，包括基础安装、配置文件详解、高级功能配置以及常见问题排查等内容。通过阅读本文，您将能够掌握Rsyslog的核心功能，并能够根据实际需求搭建适合自己环境的日志管理系统。

## 第一部分：Rsyslog简介与安装

### 1.1 Rsyslog概述

Rsyslog的全称是"Rock-fast Syslog"，它最初由Rainer Gerhards开发，现已成为大多数Linux发行版默认的syslog守护进程。与传统的syslogd相比，Rsyslog具有以下显著优势：

- **高性能**：支持多线程处理，每秒可处理百万级日志消息
- **模块化设计**：通过加载不同模块实现功能扩展
- **丰富的协议支持**：包括TCP、UDP、TLS、RELP等
- **灵活的过滤系统**：支持基于内容和属性的过滤
- **多种输出方式**：可输出到文件、数据库、远程服务器等

### 1.2 检查系统是否已安装Rsyslog

Ubuntu 18.04 LTS默认已经安装了Rsyslog，可以通过以下命令验证：

```bash
dpkg -l | grep rsyslog

如果已安装，输出应类似于：

ii  rsyslog   8.32.0-1ubuntu4   amd64    reliable system and kernel logging daemon

如果未安装，或者您想重新安装，可以继续以下步骤。

1.3 安装Rsyslog

执行以下命令安装或更新Rsyslog：

sudo apt update
sudo apt install rsyslog -y

安装完成后，检查服务状态：

systemctl status rsyslog

正常运行的输出应显示”active (running)“。

1.4 安装常用模块（可选）

Rsyslog的功能可以通过模块扩展，以下是一些常用模块：

# MySQL模块
sudo apt install rsyslog-mysql -y

# PostgreSQL模块
sudo apt install rsyslog-pgsql -y

# Elasticsearch模块
sudo apt install rsyslog-elasticsearch -y

# 文档工具（man手册）
sudo apt install rsyslog-doc -y

第二部分：基础配置

2.1 Rsyslog配置文件结构

Rsyslog的主要配置文件位于：

/etc/rsyslog.conf

此外，Ubuntu系统还使用以下目录存放额外配置：

/etc/rsyslog.d/

配置文件的基本结构包括： - 全局指令（Global directives） - 模块加载（Modules） - 规则集（Rulesets） - 模板（Templates） - 输入（Inputs） - 输出（Outputs）

2.2 主配置文件详解

打开主配置文件进行编辑：

sudo nano /etc/rsyslog.conf

关键配置项说明：

# 全局设置
$ModLoad imuxsock # 提供本地系统日志支持
$ModLoad imklog   # 提供内核日志支持
$ModLoad immark   # 提供--MARK--消息支持

# 设置默认日志文件权限
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

# 包含/etc/rsyslog.d/目录下的所有.conf文件
$IncludeConfig /etc/rsyslog.d/*.conf

# 传统格式的日志规则
auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none  -/var/log/syslog
kern.*                  -/var/log/kern.log
mail.*                  -/var/log/mail.log

2.3 基本日志规则配置

Rsyslog使用选择器（selector）和动作（action）来定义日志处理规则，格式为：

facility.priority    action

facility（设施）：标识日志来源，常见的有： - auth: 认证相关 - kern: 内核消息 - mail: 邮件系统 - cron: 定时任务 - daemon: 系统守护进程 - authpriv: 授权信息 - syslog: syslogd内部产生的消息 - lpr: 打印系统 - news: 新闻系统 - uucp: UUCP子系统 - local0-local7: 用户自定义设施

priority（优先级）：从低到高包括： - debug - info - notice - warning (warn) - err (error) - crit - alert - emerg (panic)

action（动作）：指定日志的去向，可以是： - 文件路径（如/var/log/mail.log） - 远程服务器（如@192.168.1.100:514） - 用户（如root） - 管道（如|/usr/bin/logprocessor）

2.4 创建自定义日志配置

建议将自定义配置放在/etc/rsyslog.d/目录下，例如创建web应用的日志配置：

sudo nano /etc/rsyslog.d/20-webapp.conf

添加内容：

# 将nginx错误日志单独存放
if $programname == 'nginx' and ($syslogseverity <= 5) then {
    /var/log/nginx/error.log
    stop
}

# 记录特定应用程序日志
local0.*    /var/log/webapp.log

保存后重启Rsyslog服务：

sudo systemctl restart rsyslog

第三部分：高级配置

3.1 配置远程日志服务器

作为日志服务器接收远程日志：

1. 编辑主配置文件：

sudo nano /etc/rsyslog.conf

1. 取消以下行的注释（或添加）：

# 启用UDP监听
module(load="imudp")
input(type="imudp" port="514")

# 启用TCP监听
module(load="imtcp")
input(type="imtcp" port="514")

1. 设置防火墙允许514端口：

sudo ufw allow 514/tcp
sudo ufw allow 514/udp

1. 重启服务：

sudo systemctl restart rsyslog

作为客户端发送日志到远程服务器：

在客户端机器上创建配置文件：

sudo nano /etc/rsyslog.d/30-remote.conf

添加内容（将192.168.1.100替换为实际服务器IP）：

# 使用TCP发送所有日志到远程服务器
*.* @@192.168.1.100:514

# 或者使用UDP
# *.* @192.168.1.100:514

# 只发送特定优先级的日志
# *.err @192.168.1.100:514

3.2 使用TLS加密远程日志传输

1. 安装依赖：

sudo apt install rsyslog-gnutls -y

1. 生成或获取证书（略）

2. 配置客户端：

# 加载TLS模块
module(load="imtcp" StreamDriver.Name="gtls" StreamDriver.Mode="1")

# 设置CA证书路径
$DefaultNetstreamDriverCAFile /etc/ssl/certs/ca-cert.pem

# 配置远程服务器
*.* @@(o)logs.example.com:6514

3.3 日志轮转配置

Ubuntu使用logrotate管理日志轮转，Rsyslog的轮转配置位于：

sudo nano /etc/logrotate.d/rsyslog

典型配置如下：

/var/log/syslog
{
    rotate 7
    daily
    missingok
    notifempty
    delaycompress
    compress
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}

3.4 使用模板自定义日志格式

在/etc/rsyslog.d/目录下创建模板配置文件：

sudo nano /etc/rsyslog.d/40-templates.conf

添加内容：

# 定义自定义模板
template(name="MyTemplate" type="string"
         string="%timegenerated% %HOSTNAME% %syslogtag% %msg%\n")

# 应用模板到文件
*.* /var/log/all.log;MyTemplate

第四部分：常见问题排查

4.1 服务无法启动

检查Rsyslog状态：

systemctl status rsyslog

查看详细日志：

journalctl -u rsyslog -f

4.2 日志没有写入文件

1. 检查配置语法：

sudo rsyslogd -N1

1. 检查文件权限：

ls -l /var/log/

1. 检查磁盘空间：

df -h

4.3 远程日志无法接收

1. 检查端口监听：

sudo netstat -tulnp | grep 514

1. 检查防火墙设置：

sudo ufw status

1. 测试网络连接：

telnet 192.168.1.100 514

第五部分：性能优化

5.1 启用队列处理

在主配置文件中添加：

$WorkDirectory /var/spool/rsyslog
$ActionQueueFileName fwdRule1
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

5.2 限制日志速率

防止日志洪水：

$SystemLogRateLimitInterval 5
$SystemLogRateLimitBurst 500

5.3 使用RELP协议

RELP比TCP更可靠：

sudo apt install rsyslog-relp -y

配置：

module(load="omrelp")
*.* :omrelp:logs.example.com:2514

结语

通过本文的详细介绍，您应该已经掌握了在Ubuntu 18.04 LTS上安装、配置和使用Rsyslog的完整流程。从基础安装到高级功能配置，Rsyslog提供了强大的日志管理能力，可以满足从简单到复杂的各种日志处理需求。

实际部署时，请根据您的具体环境调整配置参数，特别是性能相关的设置。对于生产环境，建议先进行充分的测试，确保日志系统能够稳定可靠地运行。

附录

常用命令参考

• 启动/停止/重启服务：

  sudo systemctl start|stop|restart rsyslog
  

• 查看服务状态：

  systemctl status rsyslog
  

• 测试配置语法：

  rsyslogd -N1
  

• 实时查看日志：

  tail -f /var/log/syslog
  

参考资源

1. Rsyslog官方文档：https://www.rsyslog.com/doc/
2. Ubuntu手册页：man rsyslogd
3. Rsyslog Wiki：https://wiki.rsyslog.com/

”`