CentOSSyslog性能优化方法

一基线评估与监控

明确当前负载与瓶颈：日志量级（条/秒）、峰值、来源分布、网络与磁盘占用、是否出现丢日志或延迟。

监控与诊断工具：

本地与系统日志：使用journalctl-ursyslog实时查看服务状态与错误；结合tail-f/var/log/messages观察轮转与写入情况。

流量与协议：用tcpdump/wireshark抓包分析Syslog流量、重传与丢包；必要时对远程链路做带宽与时延评估。

队列与性能：启用并观察rsyslog队列统计，关注队列满、超时、回写磁盘等告警，作为调优依据。

二采集与传输层优化

日志级别与过滤：将不必要的debug调整为info/warn，并使用条件规则仅采集必要设施/级别，减少日志量与处理开销。

协议选择：本地优先UDP（开销小），跨机远程优先TCP或TLS（可靠、可加密）；在不可靠网络上避免仅用UDP。

队列与异步：为发送动作配置内存/磁盘队列，开启批量出队，设置超时与重试，避免应用线程被同步写阻塞。

批量与压缩：启用批量发送与压缩（如支持），降低网络往返与带宽占用，提高吞吐。

网络栈优化：在拥塞或高延迟链路下，适当调优net.core.rmem_max、net.ipv4.tcp_window_scaling等TCP/IP参数。

架构优化：部署专用日志服务器或日志聚合（如rsyslog模块、Fluentd、Logstash），集中处理与缓冲，减轻业务端压力。

三配置与队列参数示例

发送端（rsyslog动作队列，示例为将local5转发到远端）：

$ActionForwardDefaultTemplateRSYSLOG_ForwardFormat$ActionQueueTypeLinkedList$ActionQueueFileNamelocal5.forward$ActionQueueHighWatermark10000$ActionQueueLowWatermark1000$ActionQueueMaxDiskSpace20g$ActionQueueMaxFileSize200m$ActionQueueSaveOnShutdownon$ActionQueueDiscardSeverity8$ActionQueueDiscardMark1000000000$ActionQueueTimeoutEnqueue3000$ActionQueueDequeueBatchSize500local5.*@@10.69.56.39;RSYSLOG_ForwardFormat

要点：使用LinkedList队列、设置High/LowWatermark与磁盘上限，开启批量出队（500）与入队超时（3000ms），在异常时可保存队列并无限重试，降低高峰丢日志风险。

接收端（启用TCP监听与并发）：

$ModLoadimtcp$InputTCPServerRun514$InputTCPMaxSessions1000

要点：开启TCP514并提升最大会话数，增强并发接收能力；如需UDP可按需加载imudp模块。

四存储轮转与本地落盘优化

轮转策略：在/etc/logrotate.conf或/etc/logrotate.d/中为不同日志设置daily/weekly、rotate7、compress、missingok、notifempty、create640rootadm等通用策略；对大吞吐日志增加size100M触发条件，避免单文件过大影响I/O与检索。

避免中断写入：对不支持信号重开文件句柄的服务，可用copytruncate实现“复制后截断”，减少重启或信号带来的写入中断风险（权衡一致性）。

权限与路径：确保日志目录与文件属主/权限正确（如/var/log/下的常见设置），避免因权限问题导致写入失败或轮转异常。

五系统资源与常见陷阱

资源限制与内核参数：通过systemd为rsyslog设置文件描述符上限等限制；按需调优网络/文件I/O缓冲区，避免资源耗尽导致丢日志或阻塞。

组件协同：让systemd-journald负责内核/早期启动日志，rsyslog负责落盘与转发，职责清晰、性能更稳。

安全与策略：启用TLS加密传输，限制访问权限；在SELinux环境下必要时调整策略或临时排查，避免因策略限制导致采集失败。

变更流程：任何参数调整先在测试环境验证，观察队列、磁盘、网络与错误日志，再滚动上线；保留回滚方案。