真正可用的自动化日志收集需“按需捕获+可靠传输+便于检索”:用journalctl精准过滤、rsyslog轻量转发、logrotate+脚本落盘归档、loki+promtail实现高效检索。
Linux 系统日志分散、格式不一、滚动频繁,靠手动查既低效又容易遗漏关键信息。要实现真正可用的自动化日志收集,核心不是“全量搬运”,而是“按需捕获 + 可靠传输 + 便于检索”。以下方案兼顾稳定性、可维护性和实用性,已在生产环境长期运行验证。
精准采集:用 journalctl + 过滤规则替代盲目轮询文件
systemd 系统默认启用 journald,日志已结构化存储,比直接 tail /var/log/messages 更可靠、更省资源。配合 --since、--until 和 --grep 可实现时间窗口+关键词双重过滤:
- 只取最近 1 小时内含 “ERROR” 或 “timeout” 的服务日志:journalctl --since "1 hour ago" -p 3..7 | grep -E "(ERROR|timeout)"
- 按服务单元精确提取(如 nginx):journalctl -u nginx.service --no-pager -o json(输出 JSON 格式,方便后续解析)
- 避免日志重复:用 --cursor 记录上次读取位置,下次从该游标继续,不依赖时间戳防时钟漂移
轻量转发:用 rsyslog 做本地缓冲与条件路由
不强依赖外部 Agent(如 Filebeat),用系统自带 rsyslog 即可完成稳定转发。重点配置三部分:
- 模块加载:启用 imjournal(对接 journald)和 omfwd(TCP/UDP 转发)或 omelasticsearch(直传 ES)
- 模板定义:用 template(name="json-template" type="list") 统一输出 JSON,包含 @timestamp、host、syslogtag、msg 字段
- 路由规则:例如将 auth 日志单独发往安全分析服务器,kernel 日志限速发送,避免突发日志压垮网络
落盘归档:按策略压缩 + 定期清理,不堆满磁盘
本地保留原始日志是故障回溯底线。建议组合使用 logrotate 与自定义脚本:
- logrotate 配置中启用 dateext + compress,按天切分并自动 gzip 压缩(节省 70%+ 空间)
- 添加 prerotate 脚本:在压缩前调用 journalctl --vacuum-size=500M 控制 journald 占用上限
- 设置 maxage 30 自动删除 30 天前归档,同时用 find /var/log/archive -name "*.gz" -mtime +90 -delete 清理超期压缩包
快速检索:本地部署 Loki + Promtail 构建轻量日志栈
若无需 ELK 的复杂度,Loki 是更贴合 Linux 日志场景的选择——它不索引日志内容,只索引标签(如 job="ssh", level="error"),写入快、存储省、查询准:
- Promtail 部署在每台主机,配置 relabel_rules 提取日志中的 service、level、request_id 等字段作为 Loki 标签
- 通过 Grafana 查看:用 LogQL 查询 {job="nginx"} |= "502" | json | status >= 500,秒级返回带结构化解析结果
- Loki 数据可对接 S3 兼容存储(如 MinIO),实现低成本长期保存,且不影响查询性能
