52、系统日志管理与监控全解析

系统日志管理与监控全解析

1. Syslog-ng 的 sync( ) 选项

在 Syslog-ng 中，sync( )选项用于限制日志文件同步的频率。它类似于 syslog 的 “-” 前缀，但更加精细。“-” 前缀只是关闭同步，而file( )接受一个数值，可根据需要延迟同步，缓存任意数量的消息。

该数值越高，在文件系统同步之前缓存的消息就越多，文件系统上的 “打开读取” 操作也就越少。数值越低，数据丢失的可能性就越低，消息处理和写入磁盘之间的延迟也越低。

默认情况下，sync( )设置为 0，意味着 “每条消息后同步”。一般来说，对于低流量场景，默认值或较低的sync( )值是首选；但在高流量情况下，可能需要设置为 100 甚至 1000 以上。一个实用的经验法则是，将此值设置为系统在峰值负载下每秒必须处理的日志消息行数。

如果使用日志监控器（如 Swatch）来提醒正在进行的攻击，不要将sync( )设置得太高。因为如果入侵者删除日志文件，Syslog-ng 缓存的所有消息将在未被日志监控器解析的情况下丢失。

2. Syslog-ng 的消息过滤器

消息过滤器是 Syslog-ng 的强大功能之一，虽然不是必需的，但它允许你不仅根据优先级/级别和设施（syslog 也能做到）来路由消息，还可以根据发送消息的程序名称、通过网络转发消息的主机名称、针对消息本身计算的正则表达式，甚至另一个过滤器的名称来进行路由。

一个