Linux日志机制的核心是rsyslog守护进程，该服务负责监听Linux下的日志信息，并把日志信息追加到对应的日志文件中，一般在/var/log目录下。它还可以把日志信息通过网络协议发送到另一台Linux服务器上，或者将日志存储在MySQL或Oracle等数据库中。目前rsyslog的大版本为v8。

配置文件

一般情况下，rsyslog 配置的文件文件位于/etc/rsyslog.conf 以及 /etc/rsyslog.d/文件夹下，在/etc/rsyslog.conf中通过$IncludeConfig指令将/etc/rsyslog.d/的所有配置合并到一起。配置主要可以分为以下几类:

全局配置

加载一些通用的模块

module(load="imuxsock") # provides support for local system logging
module(load="imklog")   # provides kernel logging support

设置默认的日志格式：

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

一些权限相关，在后面的一些配置中需要特别注意：

$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

规则

每条规则都由选择器和相应的动作组成，选择器说明来源和日志级别，而动作则说明如何处理对应的日志,下面是一些例子：

cron.*  /var/log/cron
mail.warn   /var/log/mail.warn

把所有来自cron守护进程的消息保存到/var/log/cron文件中。 当指定日志级别时，所有等于或大于该日志等级的信息都要被处理。比如在下面的例子中，mail子系统所有warning及以上信息的日志都保存在/var/log/mail.warn文件中。

mail.=info  -/var/log/mail.info

使用=可以指定日志等级，加上 - 表明日志异步写入。

mail.!info  /var/log/mail.info

使用!可以排除这类信息。

自定义channel

除了将日志写入本地文件外，rsyslog还支持自定义的规则，下面的指令就定义了一个名称为NAME的channel:

$outchannel NAME, FILE_NAME, MAX_SIZE, ACTION

下面是一个例子注意omfile指明输出到文件。

$outchannel log_rotation, /var/log/test_log.log, 104857600, /home/millions/log_rotation_script

*.* :omfile:$log_rotation

实际用例

如果rsyslog只能做将日志写入本地文件那就有点没意思了，下面我们来看一下rsyslog的一些高级一点的功能。

收集nginx的access log 写入文件中

从nginx的access log中可以分析出很多东西，但是在分布式环境下nginx通常部署在多个不同的服务器下，使用rsyslog可以将这些日志整合起来。

我们在/etc/rsyslog.d/文件夹下新建一个配置文件access_log.conf:

module(load="imfile")

ruleset(name="remote") {
    action(type="omfwd"
        Protocol="tcp"
        Target="127.0.0.1"
        Port="8899")

    stop
}

input(type="imfile"
    File="/var/log/nginx/access.log"
    Facility="user"
    Severity="info"
    Tag="web_access"
    PersistStateInterval="1"
    Ruleset="remote")

由于要读取文件，我们引入module(load="imfile")。然后在input中指明输入的文件位置，以及日志的类型和级别。PersistStateInterval表示持久化的间隔，可以根据需要调整，Ruleset表示使用的规则是什么。在规则中，我们指明了输出类型为转发，目标是127.0.0.1的8899端口，并且使用tcp协议。

接下来，我们再增加一个接受转发日志的配置:

module(load="imtcp")

template(name="msg" type="string" string="%msg:2:$%\n")

ruleset(name="analysis") {
    action(type="omfile"
        File="/home/millions/log/access.log"
        Template="msg")

    stop
}

input(type="imtcp"
    Port="8899"
    Ruleset="analysis")

这里我们的input是tcp，并且监听在8899端口上，输出到指定的文件，并使用自定义的模板msg。这里要注意权限问题。

然后去访问nginx，就可以看到指定目录下的文件了。

收集nginx日志并重定向到程序

稍微修改以下我们接收日志的配置，就可以把日志重定向给某个程序的标准输入了:

module(load="imtcp")
module(load="omprog")

template(name="msg" type="string" string="%msg:2:$%\n")

ruleset(name="analysis") {
    action(type="omprog"
        Binary="/usr/bin/php /home/millions/log/test.php"
        Template="msg")

    stop
}

input(type="imtcp"
    Port="8899"
    Ruleset="analysis")

为了方便起见，我们这里采用php脚本，也可以换成其他想使用的语言，test.php的内容如下。

$fp = fopen("/home/millions/log/f.log", "w+");
while (($data = fgets(STDIN)) !== false) {
        fwrite($fp, "got data:" . $data);
}

这样就可以看到f.log中记录的数据了:

got data:192.168.0.102 - - [08/Jan/2017:11:58:00 +0800] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
got data:192.168.0.102 - - [08/Jan/2017:13:20:34 +0800] "GET / HTTP/1.1" 304 0 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"

如果kill掉test.php，下次同步日志时rsyslog还会启动一个新的test.php，这样可以在运行一定次数后退出进程防止内存泄露。

总结

上面只是对rsyslog的使用做了一个简单的介绍，具体使用还有很大的发挥空间。比如在脚本中不是简单的把日志写入本地文件，而是发往kafka，记录到mysql，mongodb中去。进一步的学习还是需要查看rsyslog的官方文档。