Linux系统日志级别如何调整_rsylslog配置说明【指导】

rsyslog日志级别通过facility+priority组合控制，而非level=xxx；优先级从高到低为emerg、alert、crit、err、warning、notice、info、debug；可用*.warning等规则限制输出级别，修改后需重启rsyslog服务。

Linux系统中rsyslog的日志级别不是直接在配置文件里用“level=xxx”设置的，而是通过日志设施（facility）+ 优先级（priority）组合来过滤和路由日志。调整的关键在于修改/etc/rsyslog.conf或/etc/rsyslog.d/*.conf中的规则行，控制哪些日志被记录、写入何处、是否转发。

理解日志优先级（priority）与匹配逻辑

rsyslog支持8个标准优先级，从高到低依次为：emerg、alert、crit、err、warning、notice、info、debug。规则中常用的是“>=”、“==”、“.*”等操作符：

• *.info 表示所有facility的info及以上级别（即info、notice、warning、err…）
• mail.* 表示mail facility的所有级别日志
• authpriv.=info 表示authpriv facility的恰好info级别（不包含notice或debug）
• daemon.!info 表示daemon facility中排除info级别（即只记录其他级别）

调整本地日志输出级别（例如限制/var/log/messages只存warn以上）

编辑/etc/rsyslog.d/50-default.conf（或主配置中对应规则），找到类似这一行：

若只想让/var/log/messages保存warning及以上日志，可改为：

注意：该行末尾的-表示异步写入（提升性能），保留即可。改完后需重启服务生效：

AI发型设计

虚拟发型试穿工具和发型模拟器

247

查看详情

限制特定程序或服务的日志量（如减少sshd调试日志）

如果某服务（如sshd）开启了debug日志导致/var/log/auth.log暴增，可在rsyslog配置中单独拦截：

• 新建/etc/rsyslog.d/20-sshd-limit.conf
• 加入规则：if $programname == 'sshd' and $syslogseverity （6=info，即只记录info及更严重级别）
• 再加一行：if $programname == 'sshd' and $syslogseverity （防止日志被后续规则重复处理）

这样既保留必要日志，又避免debug刷屏。记得测试语法：sudo rsyslogd -N1，无报错再重启。

验证与排查技巧

调整后建议立即验证效果：

• 用logger -p daemon.info "test info" 和 logger -p daemon.debug "test debug" 分别发两条日志
• 检查目标文件（如/var/log/messages）是否只收到info那条
• 查看rsyslog运行状态：sudo systemctl status rsyslog，留意是否有“invalid selector”类错误
• 开启rsyslog调试日志（临时）：sudo rsyslogd -dn 2>&1 | grep -i "filter\|rule"，可直观看到每条日志匹配了哪条规则

不复杂但容易忽略的是：rsyslog按配置文件顺序逐行匹配，stop语句会终止后续处理，合理使用能精准控流。

以上就是Linux系统日志级别如何调整_rsylslog配置说明【指导】的详细内容，更多请关注php中文网其它相关文章！