# 1. 安裝rsyslog主程序+mysql插件+mysql驅(qū)動
yum install -y rsyslog rsyslog-mysql mariadb-connector-odbc
# 2. 檢查rsyslog版本（需≥8.0，確保mysql模塊可用）
rsyslogd -v

# 1. 安裝依賴包
apt update && apt install -y rsyslog rsyslog-mysql mysql-connector-odbc
# 2. 檢查版本
rsyslogd -v

-- 登錄MySQL（本地/遠程均可）
mysql -uroot -p你的數(shù)據(jù)庫密碼
-- 1. 創(chuàng)建日志庫（建議命名：syslogs，可自定義）
CREATE DATABASE IF NOT EXISTS syslogs DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
USE syslogs;

-- 核心日志表：syslog（存儲所有采集的日志數(shù)據(jù)，官方標準結構）
CREATE TABLE IF NOT EXISTS syslog (
  id INT UNSIGNED NOT NULL AUTO_INCREMENT,
  facility VARCHAR(10) NOT NULL,
  priority VARCHAR(10) NOT NULL,
  severity INT NOT NULL,
  hostname VARCHAR(64) NOT NULL,
  timestamp DATETIME NOT NULL,
  program VARCHAR(64) NOT NULL,
  msg TEXT NOT NULL,
  tag VARCHAR(32) DEFAULT NULL,
  PRIMARY KEY (id),
  INDEX idx_timestamp (timestamp),
  INDEX idx_hostname (hostname),
  INDEX idx_program (program)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COMMENT='rsyslog采集的系統(tǒng)/應用日志表';

-- 創(chuàng)建用戶 rsyslog_user，允許本機連接（% 表示允許所有主機，生產(chǎn)可限制為rsyslog服務器IP）
CREATE USER 'rsyslog_user'@'localhost' IDENTIFIED BY '你的強密碼';
-- 生產(chǎn)環(huán)境（遠程連接）：CREATE USER 'rsyslog_user'@'192.168.1.100' IDENTIFIED BY '密碼';
-- 授權：僅允許對syslogs庫的syslog表執(zhí)行 插入/查詢 操作（最小權限）
GRANT INSERT, SELECT ON syslogs.syslog TO 'rsyslog_user'@'localhost';
-- 刷新權限生效
FLUSH PRIVILEGES;
-- 退出MySQL
exit;

# 編輯配置文件（推薦vim，也可用nano）
vim /etc/rsyslog.conf

# 加載rsyslog核心模塊
$ModLoad imuxsock    # 接收本機syslog日志
$ModLoad imjournal   # 讀取systemd-journal日志
$ModLoad ommysql     # 核心：啟用rsyslog寫入MySQL的模塊（重中之重）
$ModLoad imtcp       # 可選：啟用TCP模塊，接收遠程主機日志（端口514）
$InputTCPServerRun 514 # 可選：開啟514端口，監(jiān)聽遠程日志請求

# ===================== Rsyslog -> MySQL 核心規(guī)則 =====================
# 格式說明：:ommysql:數(shù)據(jù)庫地址,數(shù)據(jù)庫名,數(shù)據(jù)庫用戶,數(shù)據(jù)庫密碼,表名
# 日志過濾規(guī)則：*.*  表示采集【所有設備、所有優(yōu)先級】的日志（可自定義過濾）
*.*  :ommysql:127.0.0.1,syslogs,rsyslog_user,你的數(shù)據(jù)庫密碼,syslog;

# 1. 保存vim配置：按 Esc → 輸入 :wq → 回車
# 2. 檢查rsyslog配置語法（核心！配置錯誤會導致服務啟動失?。?
rsyslogd -N1
# 成功提示：rsyslogd: config validation run successful.

# CentOS 7+/RHEL 7+/Rocky Linux
systemctl restart rsyslog
# 設置開機自啟（生產(chǎn)必備）
systemctl enable rsyslog
# Ubuntu/Debian
service rsyslog restart
update-rc.d rsyslog defaults

# 檢查服務狀態(tài)
systemctl status rsyslog

# 用logger命令手動生成一條測試日志（會被rsyslog采集）
logger "rsyslog-mysql test log: 2025-12-28 success"

# 登錄MySQL
mysql -ursyslog_user -p你的密碼
# 查看日志表數(shù)據(jù)
USE syslogs;
SELECT * FROM syslog ORDER BY id DESC LIMIT 1;

# 批量寫入配置（添加到mysql規(guī)則上方）
$OMMySQLBatchSize 100    # 累計100條日志批量寫入一次
$OMMySQLFlushInterval 500 # 超時500ms，即使未到100條也強制寫入

# 已在第二步配置，確認存在即可
$ModLoad imtcp
$InputTCPServerRun 514

# 編輯客戶端rsyslog.conf
vim /etc/rsyslog.conf
# 末尾添加：將本機日志推送到服務端IP（替換為你的rsyslog服務端IP）
*.* @192.168.1.100:514;RSYSLOG_SyslogProtocol23Format
# 重啟客戶端rsyslog
systemctl restart rsyslog

ALTER TABLE syslogs.syslog 
PARTITION BY RANGE (TO_DAYS(timestamp)) (
    PARTITION p20251228 VALUES LESS THAN (TO_DAYS('2025-12-29')),
    PARTITION p20251229 VALUES LESS THAN (TO_DAYS('2025-12-30')),
    PARTITION p_future VALUES LESS THAN MAXVALUE
);
# 刪除歷史分區(qū)（秒級）
ALTER TABLE syslogs.syslog DROP PARTITION p20251228;

# 編輯定時任務
crontab -e
# 添加以下內(nèi)容（每天2點執(zhí)行，刪除7天前的日志）
0 2 * * * mysql -ursyslog_user -p密碼 -e "USE syslogs; DELETE FROM syslog WHERE timestamp < DATE_SUB(NOW(), INTERVAL 7 DAY);"

# 排查方法1：查看服務啟動日志（核心）
journalctl -u rsyslog -f
# 排查方法2：檢查配置語法
rsyslogd -N1
# 常見原因：
1. 未加載ommysql模塊 → 補充 $ModLoad ommysql
2. 數(shù)據(jù)庫密碼錯誤 → 核對rsyslog.conf中的密碼
3. selinux攔截 → 臨時關閉：setenforce 0

# 排查步驟：
1. 檢查數(shù)據(jù)庫用戶權限 → 重新執(zhí)行授權SQL
2. 檢查rsyslog日志規(guī)則 → 確認 *.* :ommysql:... 配置正確
3. 關閉selinux防火墻（生產(chǎn)可配置白名單）：
   setenforce 0
   sed -i 's/^SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
4. 檢查MySQL連接 → 用rsyslog_user登錄MySQL，測試插入數(shù)據(jù)

# 優(yōu)化方案：
1. 開啟批量寫入（配置 $OMMySQLBatchSize 100）
2. 關閉rsyslog同步刷盤：在rsyslog.conf添加
   $ActionQueueType LinkedList
   $ActionQueueFileName rsyslog-mysql
   $ActionResumeRetryCount -1
3. 調(diào)優(yōu)MySQL：innodb_flush_log_at_trx_commit = 2