日常工作中，常遇到些问题，会查看Linux的系统日志，日志多种多样，boot.log, messages, auth.log, syslog等等，但每次出现问题总是凭借直觉和经验去一个一个翻，是下下策。搭建ELK，Loki等日志分析系统也是极好的，但是体积太大了，需要考虑和维护的东西也就更多。故而通过一些更轻量级的配置，加上自己的一些理解分析，想实现一套日志分析系统。而针对系统模块的日志，首当其冲的是要搞定rsyslog。

日志整理

对日志进行分析，首先第一步要规整日志。

• /etc/rsyslog.conf 是rsyslog服务的总配置文件
• /etc/rsyslog.d 该目录是单独配置的rsyslog配置文件

个人建议，将所有的rule都配置在该目录下，在/etc/rsyslog.conf中不写rule。

日志类别

• 系统日志

通过修改/etc/rsyslog.conf以及/etc/rsyslog.d/xxx.conf,来控制各种日志的输出

配置示例

模板元素属性（rsyslog Properties）

Time-Related System Properties

与时间相关的系统属性（以 2020-07-08 16:57:36 为例）

通过模板修改日志：

日志格式效果样例：

独立的haproxy日志配置

其中local3.* 与配置文件中的日志配置保持一致