银河麒麟系统中rsyslog配置不生效的深度排查与解决方案

1. 问题背景与典型表现

在银河麒麟操作系统（Kylin OS）环境中，rsyslog作为核心日志服务，承担本地及远程日志收集、过滤和转发任务。然而，运维人员常遇到配置文件修改后未生效的问题，主要表现为：

• 日志未按预设规则输出到指定文件
• 日志级别过滤失效（如debug日志仍被记录）
• 远程客户端无法接收日志（TCP/UDP通信失败）
• 新增的日志路径无内容写入
• 服务重启后恢复旧行为

这些问题直接影响安全审计、故障追踪与合规性要求。

2. 配置语法检查：基础但关键的第一步

配置文件位于/etc/rsyslog.conf主配置文件及/etc/rsyslog.d/*.conf扩展目录中。常见语法错误包括：

错误类型	示例	正确写法
优先级符号错误	*.info /var/log/info.log	*.info /var/log/info.log
模块加载缺失	直接使用$InputTCPServerRun	需先$ModLoad imtcp
模板定义错误	template(name="myfmt" type="string")	必须用双引号包围格式字符串

使用以下命令验证语法有效性：

rsyslogd -N1

该命令将解析所有配置并输出潜在错误，是排查的第一道防线。

3. 服务重载机制与进程状态确认

即使配置正确，若服务未正确重载，修改仍不会生效。银河麒麟基于systemd，应执行：

systemctl restart rsyslog

随后验证服务状态：

systemctl status rsyslog
ps aux | grep rsyslog

注意观察是否存在多个rsyslogd进程或僵尸进程。可结合journalctl -u rsyslog查看启动日志中的警告信息。

4. SELinux与防火墙策略影响分析

银河麒麟默认启用SELinux，可能限制rsyslog对自定义路径的写入权限。检查上下文类型：

ls -Z /var/log/custom/
semanage fcontext -l | grep syslog

若路径未标记为syslogd_log_t，需手动添加：

semanage fcontext -a -t syslogd_log_t "/var/log/custom(/.*)?"
restorecon -Rv /var/log/custom

对于远程日志接收，确保防火墙放行对应端口（通常为514/UDP或TCP）：

firewall-cmd --permanent --add-port=514/tcp
firewall-cmd --reload

5. 文件路径权限与属主校验

rsyslog以syslog用户运行（部分系统为root），目标日志文件必须具备可写权限：

chown syslog:adm /var/log/app.log
chmod 644 /var/log/app.log

若目录层级不存在，需提前创建并授权：

mkdir -p /var/log/app
chown syslog:adm /var/log/app

避免因父目录不可写导致写入失败。

6. 模块加载与远程日志配置详解

启用TCP接收需加载imtcp模块并在配置中声明监听：

$ModLoad imtcp
$InputTCPServerRun 514

使用RainerScript语法更灵活：

module(load="imtcp")
input(type="imtcp" port="514")

发送端则需配置动作：

*.* @@remote-server:514

单@表示UDP，双@@表示TCP加密传输。

7. 排查流程图：结构化诊断路径

graph TD A[配置修改后不生效] --> B{语法是否正确?} B -->|否| C[使用rsyslogd -N1修复] B -->|是| D{服务是否重启?} D -->|否| E[systemctl restart rsyslog] D -->|是| F{SELinux/Firewall阻断?} F -->|是| G[调整策略] F -->|否| H{文件权限正确?} H -->|否| I[修正属主与权限] H -->|是| J[检查网络连通性] J --> K[最终验证日志输出]

8. 高级调试技巧与日志自检

开启rsyslog内部调试模式：

export RSYSLOG_DEBUG="DebugOnDemand"
rsyslogd -d

输出详细处理流程，定位规则匹配失败原因。也可临时将日志重定向至控制台：

*.* /dev/console

结合logger -p kern.err "test"触发测试日志，观察响应行为。