第 8 章 配置日志记录
Red Hat Enterprise Linux 中的大多数服务都会记录状态消息、警告和错误。您可以使用 rsyslogd
服务将这些条目记录到本地文件或远程日志记录服务器。
8.1. 配置远程日志记录解决方案
要确保在日志记录服务器中集中记录来自环境中各种机器的日志,您可以将 Rsyslog 应用程序配置为将适合客户端系统中特定条件的日志记录到服务器。
8.1.1. Rsyslog 日志记录服务
Rsyslog 应用程序与 systemd-journald
服务相结合,在 Red Hat Enterprise Linux 中提供了本地和远程记录支持。rsyslogd
守护进程会持续读取 systemd-journald
服务从 Journal 接收的 syslog
消息。然后 rsyslogd
会过滤并处理这些 syslog
事件,并将它们记录到 rsyslog
日志文件,或者根据自己的配置将它们转发到其他服务。
rsyslogd
守护进程还提供扩展的过滤、加密受保护的转发消息、输入和输出模块,并支持使用 TCP 和 UDP 协议进行传输。
在 /etc/rsyslog.conf
中,是 rsyslog
的主要配置文件,您可以根据 rsyslogd
处理消息来指定规则。通常,您可以通过其来源和主题(设施)和紧急情况(优先级)对消息进行分类,然后分配在消息适合这些条件时应执行的操作。
在 /etc/rsyslog.conf
中,您还可以看到 rsyslogd
维护的日志文件列表。大多数日志文件位于 /var/log/
目录中。httpd
和 samba
等一些应用将其日志文件存储在 /var/log/
中的子目录中。
其他资源
-
rsyslogd (8)
和rsyslog.conf (5)
man page。 -
在
/usr/share/doc/rsyslog/html/index.html
文件中通过rsyslog-doc
软件包安装的文档。
8.1.2. 安装 Rsyslog 文档
Rsyslog 应用程序在 https://www.rsyslog.com/doc/ 上提供了广泛的在线文档,但您也可以在本地安装 rsyslog-doc
文档软件包。
先决条件
-
您已在系统中激活了
AppStream
软件仓库。 -
您有权使用
sudo
安装新软件包。
流程
安装
rsyslog-doc
软件包:# yum install rsyslog-doc
验证
在您选择的浏览器中打开
/usr/share/doc/rsyslog/html/index.html
文件,例如:$ firefox /usr/share/doc/rsyslog/html/index.html &
8.1.3. 通过 TCP 配置服务器进行远程记录
Rsyslog 应用程序可让您运行日志服务器并配置各个系统将其日志文件发送到日志记录服务器。要通过 TCP 使用远程日志,请同时配置服务器和客户端。服务器收集和分析由一个或多个客户端系统发送的日志。
使用 Rsyslog 应用程序,您可以维护一个集中的日志系统,该系统可通过网络将日志消息转发到服务器。为了避免服务器不可用时消息丢失,您可以为转发操作配置操作队列。这样,无法发送的消息将存储在本地,直到服务器再次可访问为止。请注意,此类队列无法针对使用 UDP 协议的连接配置。
omfwd
插件通过 UDP 或 TCP 提供转发。默认协议是 UDP。由于插件内置在内,因此不必加载它。
默认情况下,rsyslog
使用端口 514
上的 TCP。
先决条件
- rsyslog 已安装在服务器系统上。
-
您以
root
身份登录到服务器中。 -
使用
semanage
命令,为可选步骤安装policycoreutils-python-utils
软件包。 -
firewalld
服务在运行。
流程
可选: 要为
rsyslog
流量使用不同的端口,请将syslogd_port_t
SELinux 类型添加到端口。例如,启用端口30514
:# semanage port -a -t syslogd_port_t -p tcp 30514
可选: 要为
rsyslog
流量使用不同的端口,请将firewalld
配置为允许该端口上传入的rsyslog
流量。例如,允许端口30514
上的 TCP 流量:# firewall-cmd --zone=<zone-name> --permanent --add-port=30514/tcp success # firewall-cmd --reload
在
/etc/rsyslog.d/
目录中创建一个新文件(例如,remotelog.conf
),并插入以下内容:# Define templates before the rules that use them # Per-Host templates for remote systems template(name="TmplAuthpriv" type="list") { constant(value="/var/log/remote/auth/") property(name="hostname") constant(value="/") property(name="programname" SecurePath="replace") constant(value=".log") } template(name="TmplMsg" type="list") { constant(value="/var/log/remote/msg/") property(name="hostname") constant(value="/") property(name="programname" SecurePath="replace") constant(value=".log") } # Provides TCP syslog reception module(load="imtcp") # Adding this ruleset to process remote messages ruleset(name="remote1"){ authpriv.* action(type="omfile" DynaFile="TmplAuthpriv") *.info;mail.none;authpriv.none;cron.none action(type="omfile" DynaFile="TmplMsg") } input(type="imtcp" port="30514" ruleset="remote1")
-
将更改保存到
/etc/rsyslog.d/remotelog.conf
文件。 测试
/etc/rsyslog.conf
文件的语法:# rsyslogd -N 1 rsyslogd: version 8.1911.0-2.el8, config validation run... rsyslogd: End of config validation run. Bye.
确保
rsyslog
服务在日志记录服务器中运行并启用:# systemctl status rsyslog
重新启动
rsyslog
服务。# systemctl restart rsyslog
可选: 如果没有启用
rsyslog
,请确保rsyslog
服务在重启后自动启动:# systemctl enable rsyslog
您的日志服务器现在已配置为从您环境中的其他系统接收和存储日志文件。
其他资源
-
rsyslogd(8)
,rsyslog.conf(5)
,semanage(8)
, 和firewall-cmd(1)
man pages. -
在
/usr/share/doc/rsyslog/html/index.html
文件中通过rsyslog-doc
软件包安装的文档。
8.1.4. 通过 TCP 配置远程日志记录到服务器
您可以配置系统,以通过 TCP 协议将日志消息转发到服务器。omfwd
插件通过 UDP 或 TCP 提供转发。默认协议是 UDP。因为插件内置在内,所以不必加载它。
先决条件
-
rsyslog
软件包安装在应该向服务器报告的客户端系统上。 - 您已为远程日志记录配置了服务器。
- 在 SELinux 中允许指定的端口并在防火墙中打开。
-
系统包含
policycoreutils-python-utils
软件包,它为 SELinux 配置中添加非标准端口提供semanage
命令。
流程
在
/etc/rsyslog.d/
目录中创建一个名为 的新文件,如10-remotelog.conf
,并插入以下内容:*.* action(type="omfwd" queue.type="linkedlist" queue.filename="example_fwd" action.resumeRetryCount="-1" queue.saveOnShutdown="on" target="example.com" port="30514" protocol="tcp" )
其中:
-
queue.type="linkedlist"
设置启用 LinkedList 内存中队列, -
queue.filename
设置定义磁盘存储。备份文件是使用example_fwd
前缀,在之前全局workDirectory
指令指定的工作目录中创建的。 -
action.resumeRetryCount -1
设置防止rsyslog
在服务器没有响应而重试连接时丢弃消息, -
如果
rsyslog
关闭,queue.saveOnShutdown="on"
设置会保存内存中的数据。 最后一行将所有收到的消息转发到日志记录服务器。端口规格是可选的。
使用这个配置,
rsyslog
会向服务器发送消息,但如果远程服务器无法访问,则会将消息保留在内存中。只有rsyslog
耗尽配置的内存队列空间或需要关闭时,才能创建磁盘上的文件,从而让系统性能受益。
注意rsyslog 按照一般顺序处理配置文件
/etc/rsyslog.d/
。-
重新启动
rsyslog
服务。# systemctl restart rsyslog
验证
要验证客户端系统向服务器发送信息,请按照以下步骤执行:
在客户端系统中发送测试信息:
# logger test
在服务器系统上,查看
/var/log/messages
日志,例如:# cat /var/log/remote/msg/hostname/root.log Feb 25 03:53:17 hostname root[6064]: test
其中 hostname 是客户端系统的主机名。请注意,日志包含输入
logger
命令的用户的用户名,本例中为root
。
其他资源
-
rsyslogd(8)
和rsyslog.conf(5)
手册页。 -
在
/usr/share/doc/rsyslog/html/index.html
文件中通过rsyslog-doc
软件包安装的文档。
8.1.5. 配置 TLS 加密的远程日志记录
默认情况下,Rsyslog 以纯文本格式发送 remote-logging 通信。如果您的场景需要保护这个通信频道,您可以使用 TLS 加密它。
要通过 TLS 使用加密传输,请同时配置服务器和客户端。服务器收集和分析由一个或多个客户端系统发送的日志。
您可以使用 ossl
网络流驱动程序(OpenSSL)或 gtls
流驱动程序(GnuTLS)。
如果您的系统具有更高的安全性,例如,没有连接到任何网络或有严格授权的系统,请使用独立的系统作为认证授权(CA)。
您可以使用 全局
、模块
和 输入
级别在服务器端使用流驱动程序在 全局
和操作级别上自定义连接设置。更为具体的配置会覆盖更常规的配置。例如,您可以对大多数连接和
gtls
在全局设置中使用 ossl
,而只为特定连接使用 gtls。
先决条件
-
有对客户端和服务器系统的
root
访问权限。 以下软件包安装在服务器和客户端系统中:
-
rsyslog
软件包。 -
对于
ossl
网络流驱动程序,rsyslog-openssl
软件包。 -
对于
gtls
网络流驱动程序,rsyslog-gnutls
软件包。 -
要使用
certtool
命令(gnutls-utils
软件包)生成证书。
-
在您的日志服务器中,以下证书位于
/etc/pki/ca-trust/source/anchors/
目录中,并使用update-ca-trust
命令更新您的系统配置:-
ca-cert.pem
- 一个 CA 证书,它可以在日志记录服务器和客户端上验证密钥和证书。 -
server-cert.pem
- 日志记录服务器的公钥。 -
server-key.pem
- 日志记录服务器的私钥。
-
在您的日志记录客户端中,以下证书位于
/etc/pki/ca-trust/source/anchors/
目录中,并使用update-ca-trust
来更新您的系统配置:-
ca-cert.pem
- 一个 CA 证书,它可以在日志记录服务器和客户端上验证密钥和证书。 -
client-cert.pem
- 客户端的公钥。 -
client-key.pem
- 客户端的私钥。
-
流程
配置服务器以从您的客户端系统接收加密日志:
-
在
/etc/rsyslog.d/
目录中创建一个新文件,例如securelogser.conf
。 要加密通信,配置文件必须包含指向服务器的证书文件的路径、所选身份验证方法,以及支持 TLS 加密的流驱动程序。在
/etc/rsyslog.d/securelogser.conf
文件中添加以下行:# Set certificate files global( DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem" DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/server-cert.pem" DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/server-key.pem" ) # TCP listener module( load="imtcp" PermittedPeer=["client1.example.com", "client2.example.com"] StreamDriver.AuthMode="x509/name" StreamDriver.Mode="1" StreamDriver.Name="ossl" ) # Start up listener at port 514 input( type="imtcp" port="514" )
注意如果您更喜欢 GnuTLS 驱动程序,请使用
StreamDriver.Name="gtls"
配置选项。有关比x509/name
严格性低的验证模式的更多信息,请参阅使用rsyslog-doc
软件包安装的文档。-
将更改保存到
/etc/rsyslog.d/securelogser.conf
文件。 验证
/etc/rsyslog.conf
文件的语法以及/etc/rsyslog.d/
目录中的任何文件:# rsyslogd -N 1 rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)... rsyslogd: End of config validation run. Bye.
确保
rsyslog
服务在日志记录服务器中运行并启用:# systemctl status rsyslog
重启
rsyslog
服务:# systemctl restart rsyslog
可选: 如果没有启用 Rsyslog,请确保
rsyslog
服务在重启后自动启动:# systemctl enable rsyslog
-
在
配置客户端以将加密日志发送到服务器:
-
在客户端系统上,在
/etc/rsyslog.d/
目录中创建一个名为 的新文件,如securelogcli.conf
。 在
/etc/rsyslog.d/securelogcli.conf
文件中添加以下行:# Set certificate files global( DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem" DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/client-cert.pem" DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/client-key.pem" ) # Set up the action for all messages *.* action( type="omfwd" StreamDriver="ossl" StreamDriverMode="1" StreamDriverPermittedPeers="server.example.com" StreamDriverAuthMode="x509/name" target="server.example.com" port="514" protocol="tcp" )
注意如果您更喜欢 GnuTLS 驱动程序,请使用
StreamDriver.Name="gtls"
配置选项。-
将更改保存到
/etc/rsyslog.d/securelogcli.conf
文件。 验证
/etc/rsyslog.conf
文件的语法以及/etc/rsyslog.d/
目录中的其他文件:# rsyslogd -N 1 rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)... rsyslogd: End of config validation run. Bye.
确保
rsyslog
服务在日志记录服务器中运行并启用:# systemctl status rsyslog
重启
rsyslog
服务:# systemctl restart rsyslog
可选: 如果没有启用 Rsyslog,请确保
rsyslog
服务在重启后自动启动:# systemctl enable rsyslog
-
在客户端系统上,在
验证
要验证客户端系统向服务器发送信息,请按照以下步骤执行:
在客户端系统中发送测试信息:
# logger test
在服务器系统上,查看
/var/log/messages
日志,例如:# cat /var/log/remote/msg/<hostname>/root.log Feb 25 03:53:17 <hostname> root[6064]: test
其中
<
hostname> 是客户端系统的主机名。请注意,该日志包含输入 logger 命令的用户的用户名,本例中为root
。
其他资源
-
certtool (1)
,openssl (1)
,update-ca-trust (8)
,rsyslogd (8
), 和rsyslog.conf (5)
手册页。 -
在
/usr/share/doc/rsyslog/html/index.html
上安装了rsyslog-doc
软件包的文档。 - 将 logging 系统角色与 TLS 一起使用。
8.1.6. 配置服务器以通过 UDP 接收远程日志信息
Rsyslog 应用程序可让您将系统配置为从远程系统接收日志信息。要通过 UDP 使用远程日志记录,请同时配置服务器和客户端。接收服务器收集并分析一个或多个客户端系统发送的日志。默认情况下,rsyslog
使用端口 514
上的 UDP 从远程系统接收日志信息。
按照以下步骤配置服务器,以通过 UDP 协议收集和分析一个或多个客户端系统发送的日志。
先决条件
- rsyslog 已安装在服务器系统上。
-
您以
root
身份登录到服务器中。 -
使用
semanage
命令,为可选步骤安装policycoreutils-python-utils
软件包。 -
firewalld
服务在运行。
流程
可选:要将不同的端口用于
rsyslog
流量,而不是默认端口514
:将
syslogd_port_t
SELinux 类型添加到 SELinux 策略配置中,使用您要rsyslog
的端口号替换portno
:# semanage port -a -t syslogd_port_t -p udp portno
配置
firewalld
以允许传入的rsyslog
流量,使用您要rsyslog
使用的端口替换portno
,区替换zone
:# firewall-cmd --zone=zone --permanent --add-port=portno/udp success # firewall-cmd --reload
重新载入防火墙规则:
# firewall-cmd --reload
在
/etc/rsyslog.d/
目录中创建一个新的.conf
文件,如remotelogserv.conf
,并插入以下内容:# Define templates before the rules that use them # Per-Host templates for remote systems template(name="TmplAuthpriv" type="list") { constant(value="/var/log/remote/auth/") property(name="hostname") constant(value="/") property(name="programname" SecurePath="replace") constant(value=".log") } template(name="TmplMsg" type="list") { constant(value="/var/log/remote/msg/") property(name="hostname") constant(value="/") property(name="programname" SecurePath="replace") constant(value=".log") } # Provides UDP syslog reception module(load="imudp") # This ruleset processes remote messages ruleset(name="remote1"){ authpriv.* action(type="omfile" DynaFile="TmplAuthpriv") *.info;mail.none;authpriv.none;cron.none action(type="omfile" DynaFile="TmplMsg") } input(type="imudp" port="514" ruleset="remote1")
其中
514
是rsyslog
默认使用的端口号。您可以指定不同的端口。验证
/etc/rsyslog.conf
文件以及/etc/rsyslog.d/
目录中的所有.conf
文件的语法:# rsyslogd -N 1 rsyslogd: version 8.1911.0-2.el8, config validation run...
重新启动
rsyslog
服务。# systemctl restart rsyslog
可选: 如果没有启用
rsyslog
,请确保rsyslog
服务在重启后自动启动:# systemctl enable rsyslog
其他资源
-
rsyslogd(8)
,rsyslog.conf(5)
,semanage(8)
, 和firewall-cmd(1)
man page。 -
在
/usr/share/doc/rsyslog/html/index.html
文件中通过rsyslog-doc
软件包安装的文档。
8.1.7. 通过 UDP 配置远程日志记录到服务器
您可以配置系统,以通过 UDP 协议将日志消息转发到服务器。omfwd
插件通过 UDP 或 TCP 提供转发。默认协议是 UDP。因为插件内置在内,所以不必加载它。
先决条件
-
rsyslog
软件包安装在应该向服务器报告的客户端系统上。 - 您已为远程日志记录配置了服务器,如配置服务器 以通过 UDP 接收远程日志信息。
流程
在
/etc/rsyslog.d/
目录中创建一个新的.conf
文件,如10-remotelogcli.conf
,并插入以下内容:*.* action(type="omfwd" queue.type="linkedlist" queue.filename="example_fwd" action.resumeRetryCount="-1" queue.saveOnShutdown="on" target="example.com" port="portno" protocol="udp" )
其中:
-
queue.type="linkedlist"
设置启用一个 LinkedList 内存中队列。 -
queue.filename
设置定义磁盘存储。备份文件使用之前全局workDirectory
指令指定的工作目录中的example_fwd
前缀创建。 -
action.resumeRetryCount -1
设置可防止rsyslog
在重试时丢弃消息(如果服务器没有响应)。 -
如果
rsyslog
关闭,启用的 queue.saveOnShutdown="on"
设置会保存内存中的数据。 -
portno
值是您要rsyslog
使用的端口号。默认值为514
。 最后一行将所有收到的消息转发到日志记录服务器,端口规格是可选的。
使用这个配置,
rsyslog
会向服务器发送消息,但如果远程服务器无法访问,则会将消息保留在内存中。只有rsyslog
耗尽配置的内存队列空间或需要关闭时,才能创建磁盘上的文件,从而让系统性能受益。
注意rsyslog 按照一般顺序处理配置文件
/etc/rsyslog.d/
。-
重新启动
rsyslog
服务。# systemctl restart rsyslog
可选: 如果没有启用
rsyslog
,请确保rsyslog
服务在重启后自动启动:# systemctl enable rsyslog
验证
要验证客户端系统向服务器发送信息,请按照以下步骤执行:
在客户端系统中发送测试信息:
# logger test
在服务器系统中,查看
/var/log/remote/msg/hostname/root.log
日志,例如:# cat /var/log/remote/msg/hostname/root.log Feb 25 03:53:17 hostname root[6064]: test
其中
hostname
是客户端系统的主机名。请注意,该日志包含输入 logger 命令的用户的用户名,本例中为root
。
其他资源
-
rsyslogd(8)
和rsyslog.conf(5)
手册页。 -
在
/usr/share/doc/rsyslog/html/index.html
上安装了rsyslog-doc
软件包的文档。
8.1.8. Rsyslog 中的负载均衡帮助程序
RebindInterval
设置指定当前连接中断的时间间隔,并被重新建立。此设置适用于 TCP、UDP 和 RELP 流量。负载平衡器将信息作为新连接,并将消息转发到另一个物理目标系统。
当目标系统更改其 IP 地址时,RebindInterval
设置非常有用。Rsyslog 应用程序在连接建立时缓存 IP 地址,因此信息会发送到同一服务器。如果 IP 地址更改,UDP 数据包将会丢失,直到 Rsyslog 服务重启为止。重新建立连接将确保 DNS 再次解析 IP。
action(type=”omfwd” protocol=”tcp” RebindInterval=”250” target=”example.com” port=”514” …) action(type=”omfwd” protocol=”udp” RebindInterval=”250” target=”example.com” port=”514” …) action(type=”omrelp” RebindInterval=”250” target=”example.com” port=”6514” …)
8.1.9. 配置可靠的远程日志记录
通过可靠的事件日志记录协议(RELP),您可以降低消息丢失的风险通过 TCP 发送和接收 syslog
消息。RELP 提供可靠的事件消息交付,这对于无法接受消息丢失的环境中非常有用。要使用 RELP,请配置服务器上运行的 imrelp
输入模块并接收日志,以及在客户端上运行的 omrelp
输出模块,并将日志发送到日志记录服务器。
先决条件
-
您已在服务器和客户端系统中安装了
rsyslog
、librelp
和rsyslog-relp
软件包。 - 在 SELinux 中允许指定的端口并在防火墙中打开。
流程
配置客户端系统以可靠远程记录:
在客户端系统上,在
/etc/rsyslog.d/
目录中创建一个新的.conf
文件,例如relpclient.conf
,并插入以下内容:module(load="omrelp") *.* action(type="omrelp" target="_target_IP_" port="_target_port_")
其中:
-
target_IP
是日志记录服务器的 IP 地址。 -
target_port
是日志记录服务器的端口。
-
-
保存对
/etc/rsyslog.d/relpclient.conf
文件的更改。 重新启动
rsyslog
服务。# systemctl restart rsyslog
可选: 如果没有启用
rsyslog
,请确保rsyslog
服务在重启后自动启动:# systemctl enable rsyslog
配置服务器系统以可靠远程记录:
在服务器系统中,在
/etc/rsyslog.d/
目录中创建一个新的.conf
文件,例如reserv.conf
,并插入以下内容:ruleset(name="relp"){ *.* action(type="omfile" file="_log_path_") } module(load="imrelp") input(type="imrelp" port="_target_port_" ruleset="relp")
其中:
-
log_path
指定存储消息的路径。 -
target_port
是日志记录服务器的端口。使用与客户端配置文件中相同的值。
-
-
保存对
/etc/rsyslog.d/relpserv.conf
文件的更改。 重新启动
rsyslog
服务。# systemctl restart rsyslog
可选: 如果没有启用
rsyslog
,请确保rsyslog
服务在重启后自动启动:# systemctl enable rsyslog
验证
要验证客户端系统向服务器发送信息,请按照以下步骤执行:
在客户端系统中发送测试信息:
# logger test
在服务器系统中,查看指定
log_path
的日志,例如:# cat /var/log/remote/msg/hostname/root.log Feb 25 03:53:17 hostname root[6064]: test
其中
hostname
是客户端系统的主机名。请注意,该日志包含输入 logger 命令的用户的用户名,本例中为root
。
其他资源
-
rsyslogd(8)
和rsyslog.conf(5)
手册页。 -
在
/usr/share/doc/rsyslog/html/index.html
文件中通过rsyslog-doc
软件包安装的文档。
8.1.10. 支持的 Rsyslog 模块
要扩展 Rsyslog 应用程序的功能,您可以使用特定的模块。模块提供额外的输入(Input 模块)、输出(输出模块)和其他功能。模块也可以提供在加载模块后可用的其他配置指令。
您可以输入以下命令列出您系统中安装的输入和输出模块:
# ls /usr/lib64/rsyslog/{i,o}m*
在安装了 rsyslog-doc
软件包后,您可以在 /usr/share/doc/rsyslog/html/configuration/modules/idx_output.html
文件中查看所有可用的 rsyslog
模块。
8.1.11. 配置 netconsole 服务为将内核信息记录到远程主机
当无法登录到磁盘或使用串行控制台时,您可以使用 netconsole
内核模块和同名服务将内核消息通过网络记录到远程 rsyslog
服务。
先决条件
-
远程主机上已安装系统日志服务,如
rsyslog
。 - 远程系统日志服务被配置为接收来自此主机的日志条目。
流程
安装
netconsole-service
软件包:# yum install netconsole-service
编辑
/etc/sysconfig/netconsole
文件,并将SYSLOGADDR
参数设为远程主机的 IP 地址:# SYSLOGADDR=192.0.2.1
启用并启动
netconsole
服务:# systemctl enable --now netconsole
验证
-
在远程系统日志服务器上显示
/var/log/messages
文件。
其他资源
8.1.12. 其他资源
-
在
/usr/share/doc/rsyslog/html/index.html
文件中安装有rsyslog-doc
软件包的文档 -
系统中的
rsyslog.conf (5)
和rsyslogd (8)
man page - 在不使用 journald 或最小化 journald 的情况下配置系统日志记录知识库文章。
- RHEL 默认日志设置对性能的负面影响及其缓解措施
- 使用日志记录系统角色 章节