當(dāng) rsyslog 使用 imuxsock 模塊時(shí)，如果 長時(shí)間沒有日志 輸出，可能原因有多種，需要結(jié)合 Linux 系統(tǒng)日志流轉(zhuǎn)機(jī)制逐步排查。下面詳細(xì)解釋 imuxsock 的原理、可能原因和排查步驟。

1.imuxsock工作原理

imuxsock 模塊用于接收 本地進(jìn)程通過 Unix Domain Socket 發(fā)送的日志，這是 Linux 中最常見的日志收集路徑。

日志流轉(zhuǎn)路徑

Application (e.g., systemd, sshd)
      |
      v
libc syslog()/journald
      |
      v
Unix Socket: /dev/log  <--- imuxsock 模塊監(jiān)聽
      |
      v
rsyslog  ---> 按配置寫到文件 /var/log/messages 或遠(yuǎn)程發(fā)送

• /dev/log 是 Unix Socket 文件，由 rsyslog 或 systemd-journald 創(chuàng)建。
• imuxsock 模塊負(fù)責(zé)監(jiān)聽 /dev/log，從而接收應(yīng)用程序日志。

如果 /dev/log 出現(xiàn)問題，imuxsock 將無法接收任何日志。

2. 沒有日志的常見原因

原因 1：應(yīng)用層沒有產(chǎn)生日志

• 很多應(yīng)用只有在有事件發(fā)生時(shí)才輸出日志。
• 如果這段時(shí)間系統(tǒng)比較空閑，應(yīng)用沒有調(diào)用 syslog() 或 logger，rsyslog 自然收不到日志。

排查方法：

logger "test message"
tail -n 20 /var/log/messages

如果 test message 沒有出現(xiàn)，說明日志沒有流轉(zhuǎn)到 rsyslog。

原因 2：/dev/logSocket 丟失或損壞

• imuxsock 依賴 /dev/log 這個(gè) Unix Socket 文件。
• 如果 /dev/log 被誤刪或被其他進(jìn)程占用，日志無法接收。

檢查：

ls -l /dev/log
# 正常輸出示例
# srw-rw-rw-. 1 root root 0 Sep 23 10:20 /dev/log

排查：

如果文件不存在，重啟 systemd-journald 或 rsyslog：

systemctl restart systemd-journald
systemctl restart rsyslog

如果文件被非 systemd-journald 占用，找出占用進(jìn)程：

lsof | grep /dev/log

原因 3：rsyslog 配置錯(cuò)誤

如果 rsyslog 沒有正確加載 imuxsock 模塊或配置了錯(cuò)誤的規(guī)則，日志也不會(huì)輸出。

檢查配置文件：

grep imuxsock /etc/rsyslog.conf /etc/rsyslog.d/*.conf

配置示例：

module(load="imuxsock") # Load imuxsock module

如果找不到 module(load="imuxsock")，說明模塊未加載，需手動(dòng)添加并重啟：

systemctl restart rsyslog

原因 4：systemd-journald 搶占日志

在很多現(xiàn)代 Linux 發(fā)行版（如 SLES15, RHEL8/9, Ubuntu），systemd-journald 默認(rèn)先接管 /dev/log，然后再將日志轉(zhuǎn)發(fā)給 rsyslog。

如果 journald 配置錯(cuò)誤或未啟用日志轉(zhuǎn)發(fā)，rsyslog 就收不到日志。

檢查 journald 配置：

grep ForwardToSyslog /etc/systemd/journald.conf

需要確保：

ForwardToSyslog=yes

修改后重啟：

systemctl restart systemd-journald

原因 5：rsyslog 隊(duì)列阻塞

rsyslog 內(nèi)部有多級(jí)隊(duì)列，如果日志量過大或磁盤寫入緩慢，可能導(dǎo)致隊(duì)列阻塞，使得新日志無法寫入。

檢查隊(duì)列狀態(tài)：

rsyslogd -N1

確認(rèn)配置語法無誤。

查看 /var/log/messages 或 /var/log/rsyslog.log 是否有隊(duì)列相關(guān)錯(cuò)誤。

原因 6：日志被過濾規(guī)則丟棄

如果 /etc/rsyslog.conf 中配置了過于嚴(yán)格的過濾規(guī)則，某些日志會(huì)被直接丟棄。

檢查：

grep -E '^*' /etc/rsyslog.conf

確保有類似規(guī)則：

*.*    /var/log/messages

如果被限制為：

*.info   /var/log/messages

那么 debug 級(jí)別日志就不會(huì)被寫入。

原因 7：權(quán)限問題

• /dev/log 的權(quán)限不足，導(dǎo)致某些進(jìn)程無法寫入。
• 日志文件目錄權(quán)限不足，導(dǎo)致 rsyslog 無法寫入日志。

檢查：

ls -l /dev/log
ls -ld /var/log

正常 /dev/log 權(quán)限應(yīng)該是 srw-rw-rw-，即所有用戶都可以寫入。

3. 排查流程總結(jié)

4. 示例：快速修復(fù)腳本

如果懷疑是 journald 或 /dev/log 問題，可以一次性重啟日志服務(wù)：

systemctl restart systemd-journald
systemctl restart rsyslog

然后測(cè)試：

logger "test message"
tail -n 10 /var/log/messages

5. 總結(jié)

6. 經(jīng)驗(yàn)建議

1.統(tǒng)一日志管理

確保 journald 與 rsyslog 配置一致，避免二者競爭 /dev/log。

2.啟用 rsyslog debug 日志

rsyslogd -dn

運(yùn)行后觀察輸出，快速定位問題。

3.監(jiān)控 /dev/log 狀態(tài)

使用腳本定時(shí)檢查 /dev/log 是否被替換或刪除。

到此這篇關(guān)于linux中日志缺失原因排查與修復(fù)的完整指南的文章就介紹到這了,更多相關(guān)linux日志缺失排查與修復(fù)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！