CentOS Syslog日志存储策略主要涉及日志存储路径、命名规则、轮转机制及安全配置，以下是核心内容：

一、日志存储路径与命名规则

通过rsyslog配置文件（/etc/rsyslog.conf或/etc/rsyslog.d/*.conf）定义，常用策略：

• 按IP地址分类存储：
  定义模板$template Remote,"/var/log/syslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"，将不同客户端IP的日志存入独立目录，如/var/log/syslog/192.168.1.100/192.168.1.100_2025-08-26.log。
• 按日志类型分类：
  例如将安全日志存至/var/log/secure，内核日志存至/var/log/kern.log，通过配置authpriv.* /var/log/secure等规则实现。

二、日志轮转与备份策略

• 轮转配置：
  通过logrotate工具（主配置文件/etc/logrotate.conf，系统日志配置/etc/logrotate.d/syslog）设置：
  • 时间间隔：daily（每日）、weekly（每周）、monthly（每月）。
  • 保留份数：rotate 7（保留7天日志）。
  • 压缩与清理：compress（压缩旧日志）、missingok（忽略丢失文件）、notifempty（空文件不轮转）。
    示例配置：

  /var/log/messages {  
      daily  
      rotate 7  
      compress  
      missingok  
      notifempty  
      create 640 root adm  
  }  
  

• 远程备份：
  结合rsync或scp将日志定期备份至远程服务器，例如：
  rsync -av /var/log/syslog/ backup-server:/backup/syslog/，并通过cron定时执行。

三、安全与权限管理

• 目录权限：
  日志目录（如/var/log/syslog/）权限设置为750，属主为root，属组为adm，确保只有授权用户可访问。
• 日志文件权限：
  单个日志文件权限通常为640，防止未授权修改。
• 防火墙配置：
  若为远程日志服务器，需开放UDP/TCP 514端口：
  firewall-cmd --add-port=514/udp --permanent。

四、关键配置文件说明

五、验证与维护

• 查看日志存储：
  ls /var/log/syslog/（按IP分类场景）或tail -f /var/log/messages。
• 测试配置：
  修改配置后重启rsyslog服务：systemctl restart rsyslog，并发送测试日志（如logger "Test message"）验证。

参考来源：