rsyslog研究——第一章 rsyslog整体架构

最近因为工作需要研究了rsyslog，主要是把官网的文档看了一遍，因为学习的过程中，发现中文资料很少，所以研究的差不多以后，决定拿出来分享一下。

rsyslog官网的文档还是挺烂的（在我看完后，官网有了一次改版，可能好一些了），尤其是配置文件部分，每个版本都有改动，但是官网只有最新版本的参数介绍，好几次我按照文档的参数写配置文件，或者报错，或者参数不起作用，因此大家使用哪个版本的rsyslog，最好是下个该版本的源代码，以供核查参数是否准确。

本文的结构，来自我的内部分享。

使用的rsyslog版本为：7.2.5

第一章 rsyslog整体架构

我主要使用rsyslog来保证日志的可靠性传输，日志中心宕机，client端可以本地保存日志，因此rsyslog与数据库结合方面的知识在文章中没有涉及。

 

Rsyslog架构，这是rsyslog官网上的一张图，用来介绍rsyslog的架构，rsyslog的消息流是从输入模块->预处理模块->主队列->过滤模块->执行队列->输出模块。

在这个流程图中，输入、输出、过滤三个部分称为module，输入模块有imklg、imsock、imfile。输出模块有omudp、omtcp、omfile、omprog、ommysql、omruleset（后两者我没有研究，本文不会涉及）。过滤模块研究不多，只会提到mmnormalize。

预处理模块主要解决各种syslog协议实现间的差异，举例说明如果日志系统client端使用rsyslog、server端使用syslog-ng，如果自己不做特殊处理syslog-ng是无法识别的。但是反过来，rsyslog的server端就可以识别syslog-ng发过来的消息。

Input模块包括imklg、imsock、imfile、imtcp等，是消息来源。

Filetr模块处理消息的分析和过滤，rsyslog可以根据消息的任何部分进行过滤，后面会介绍到具体的做法。

Output模块包括omfile、omprog、omtcp、ommysql等。是消息的目的地。

Queue模块负责消息的存储，从Input传入的未经过滤的消息放在主队列中，过滤后的消息放入到不同action queue中，再由action queue送到各个输出模块。

1.1启动参数

正常启动：指定-f和-i就可以了，新版本不需要-c 5 这样的参数。

1. rsyslogd -f /root/rsyslog_worker_dir/rsyslog.conf -i /root/rsyslog_worker_dir/rsyslog.pid

复制代码

debug版本：debug消息会输出到标注输出，如果出现未预期的结果，可以尝试使用debug方式，查看处理流程

1. rsyslogd -f /root/rsyslog_worker_dir/rsyslog.conf -i /root/rsyslog_worker_dir/rsyslog.pid -dn >debuglog

复制代码

测试配置文件是否正确：

1. rsyslogd -N1 -f file

复制代码