Linux 日志管理核心是 journal(systemd-journald)与 syslog(如 rsyslog)互补共存:journald 负责实时采集、结构化存储和快速检索,syslog 负责持久化归档、远程转发及 SIEM 集成。
Linux 日志管理核心在于理清 syslog(传统守护进程日志)与 journal(systemd-journald 的二进制日志)的分工、共存关系和协同使用方式。两者不是替代关系,而是互补:journald 负责实时采集、结构化存储和快速检索;syslog(如 rsyslog 或 syslog-ng)则擅长持久化归档、远程转发和与外部 SIEM 系统集成。
理解 journal 和 syslog 的角色分工
journald 是 systemd 的一部分,默认启用,所有 systemd 服务、内核消息、启动过程日志都会自动写入二进制日志(/run/log/journal/ 或 /var/log/journal/)。它支持字段过滤(_PID、UNIT、PRIORITY)、时间范围查询、反向滚动,但日志默认易失(/run 下重启丢失),长期保存需配置持久化。
syslog 守护进程(如 rsyslog)不直接生成日志,而是从 journald 订阅日志流(通过 imjournal 模块),或接收传统 UDP/TCP syslog 报文。它负责按规则写入文本文件(如 /var/log/messages、/var/log/auth.log),支持磁盘轮转、加密传输、写入数据库等高级功能。
关键点:
• journal 是“源头”和“缓冲”,syslog 是“分发器”和“归档器”
• 启用 journald 持久化后,/var/log/journal/ 才能保留开机前日志
• rsyslog 默认通过 imjournal 读取 journal,而非 /dev/log —— 这意味着 journal 必须运行且权限正确
启用 journal 持久化并查看结构化日志
默认 journal 日志存在内存或 /run/log/journal/(volatile),重启即清空。要长期保留:
- 创建目录:sudo mkdir -p /var/log/journal
- 触发持久化初始化:sudo systemd-tmpfiles –create –prefix /var/log/journal
- 重启 journald:sudo systemctl restart systemd-journald
常用 journalctl 命令示例:
• 查看本次启动日志:journalctl -b
• 查看某服务日志(含启动失败):journalctl -u sshd.service -n 50
• 按优先级过滤(3=ERROR):journalctl PRIORITY=3
• 实时跟踪并高亮错误:journalctl -f -p err
配置 rsyslog 接收并落盘 journal 日志
确保 rsyslog 已安装并启用 imjournal 模块(新版默认开启):
- 检查模块加载:grep “imjournal” /etc/rsyslog.conf(应有 $ModLoad imjournal)
- 确认 rsyslog 用户有读 journal 权限:sudo groupadd -f systemd-journal,然后 sudo usermod -a -G systemd-journal syslog
- 重启服务:sudo systemctl restart systemd-journald rsyslog
此时 /var/log/messages、/var/log/syslog 等文件内容将与 journal 同步(延迟通常<1 秒)。rsyslog 可进一步配置规则,例如把 auth 日志单独写入 /var/log/secure:
if $programname == ‘sshd’ then /var/log/secure
日志分析实用技巧与避坑提示
• 时间对齐:journal 使用纳秒级时间戳,rsyslog 文本日志为秒级。排查问题时优先用 journalctl –since “2024-05-20 14:30:00” 定位起点,再查对应文本日志
• 防止日志爆炸:journal 默认限制 10% 磁盘空间或 4G 大小,可通过 /etc/systemd/journald.conf 中 SystemMaxUse=500M 控制
• 远程集中收集:rsyslog 支持 TLS 转发至 Logstash/Splunk;journal 本身不支持远程,必须经 rsyslog 或 journald-gateway(HTTP 接口)中转
• 容器日志:Docker 默认使用 journald 作为日志驱动,docker logs 实际调用 journalctl;Kubernetes 节点上建议统一由 fluentd 或 vector 采集 journal + rsyslog 输出
