rsyslog.conf配置后日志未按预期输出

1. rsyslog.conf配置问题的常见表现与初步排查

在运维实践中，配置rsyslog后日志未按预期输出是一个高频问题。最常见的现象包括：指定的日志文件未生成、消息未写入目标路径、远程日志未接收等。这些问题往往源于配置语法错误或逻辑不匹配。

• 规则行被rsyslog忽略（无报错但无效）
• 服务启动失败，systemctl status rsyslog显示异常
• 自定义模板未生效，仍使用默认格式输出
• 日志设施（facility）和优先级（priority）组合无法触发规则

初步排查应从服务状态入手，确认rsyslog是否正常运行，并查看系统日志（如/var/log/messages或journalctl）中是否存在加载配置时的警告或错误信息。

2. 语法层级深度解析：从基础结构到常见陷阱

rsyslog.conf遵循特定的语法规则，其核心结构为“选择器 + 动作”，即：

*.info     /var/log/info.log

其中，星号代表所有设施，info为优先级。常见的语法陷阱包括：

3. 模板机制详解与调试方法

rsyslog支持通过$template指令定义输出格式，常用于标准化日志字段。若模板未正确引用，日志将回退至默认格式。

# 定义模板
$template CustomFormat,"%timestamp:::date-rfc3339% %hostname% %syslogtag%%msg%\n"
# 引用模板
*.info    /var/log/app.log;CustomFormat

注意分号后的模板名称是关键语法点。若遗漏分号或拼写错误，rsyslog将无法识别该模板。

可通过以下命令验证模板是否被解析：

rsyslogd -E -N1

该命令启用详细模式并进行配置检查，输出中会明确指出模板定义位置及解析状态。

4. 设施与优先级匹配机制分析

rsyslog依据facility.priority决定消息路由。标准facility包括auth、kern、mail等，priority从debug到emerg共8级。规则匹配遵循“最小优先级包含更高优先级”原则。

例如：

• mail.err 匹配邮件子系统的err及以上级别
• *.debug 匹配所有设施的debug到emerg消息

若应用发送的日志使用local6.info，而配置中仅监听local5，则消息不会被捕获。此类问题需结合应用端日志生成代码与rsyslog规则比对。

5. 配置验证与服务重载流程

修改rsyslog.conf后，必须执行语法检查和服务重载：

rsyslogd -N1
systemctl reload rsyslog

使用-N1参数可检测配置文件语法，返回0表示通过，非0则输出具体错误行号和原因。此步骤应在每次变更后强制执行。

服务重载后，建议通过logger -p local3.info "test message"发送测试日志，验证规则是否生效。

6. 典型故障排查流程图

graph TD
    A[日志未按预期输出] --> B{rsyslog服务是否运行?}
    B -->|否| C[启动服务 systemctl start rsyslog]
    B -->|是| D[执行 rsyslogd -N1 检查语法]
    D -->|错误| E[修正配置文件语法]
    D -->|通过| F[检查规则中的facility/priority匹配]
    F --> G[确认模板是否正确定义并引用]
    G --> H[发送测试日志验证]
    H --> I[观察目标文件输出]
    I --> J[成功?]
    J -->|否| K[检查SELinux/AppArmor权限限制]
    J -->|是| L[问题解决]
    

7. 高级场景与扩展建议

对于分布式系统，常需配置rsyslog作为中央日志服务器。此时需开启UDP/TCP输入模块，并设置防火墙规则。

推荐启用模块化配置（/etc/rsyslog.d/*.conf），便于管理多应用日志规则。同时，结合logrotate实现日志轮转，避免磁盘耗尽。

在容器化环境中，应考虑将rsyslog以前端进程方式运行，确保Docker/Kubernetes能正确捕获其输出。

长期监控建议集成ELK或Loki栈，提升日志检索与分析能力。