Ubuntu日志格式自定义配置（手把手教你修改rsyslog日志格式）

准备工作：确认rsyslog服务状态

Ubuntu默认已安装rsyslog。我们先检查其运行状态：

sudo systemctl status rsyslog

如果未安装，可执行以下命令安装：

sudo apt updatesudo apt install rsyslog

步骤一：了解rsyslog模板语法

rsyslog使用模板（Template）来定义日志格式。模板中可以使用多种属性，例如：

• %timestamp%：日志时间戳
• %hostname%：主机名
• %syslogtag%：产生日志的程序标签
• %msg%：日志消息内容
• %procid%：进程ID

步骤二：创建自定义日志模板

我们将创建一个包含毫秒级时间戳、主机名、进程ID和消息内容的模板。编辑rsyslog配置文件：

sudo nano /etc/rsyslog.d/10-custom-format.conf

在打开的文件中，添加以下内容：

# 定义自定义日志模板$template CustomFormat,"%timestamp:::date-rfc3339% %hostname% [%syslogtag%%procid%] %msg%\n"# 应用模板到所有日志*.* ?CustomFormat

说明：

• %timestamp:::date-rfc3339% 使用RFC3339标准格式（含毫秒）
• \n 表示换行符
• *.* ?CustomFormat 表示将该模板应用于所有日志

步骤三：重启rsyslog服务并验证

保存文件后，重启rsyslog服务使配置生效：

sudo systemctl restart rsyslog

现在可以查看日志是否已按新格式输出。例如查看auth.log：

tail -f /var/log/auth.log

你应该看到类似以下格式的日志：

2024-06-15T10:23:45.123456+08:00 ubuntu-server [sshd[1234]] Accepted password for user from 192.168.1.100 port 50432 ssh2

高级技巧：为不同日志文件设置不同格式

如果你只想对特定日志（如syslog）应用自定义格式，可以这样配置：

# 自定义syslog格式$template SyslogFormat,"[%timestamp:::date-rfc3339%] %hostname% %syslogtag%%msg%\n"# 仅对/var/log/syslog应用此格式*.info;mail.none;authpriv.none;cron.none ?SyslogFormat

常见问题与解决方案

在进行Linux系统日志管理时，可能会遇到以下问题：

• 日志格式未生效：检查配置文件是否放在/etc/rsyslog.d/目录下，且文件名以数字开头（如10-xxx.conf）
• 权限错误：确保使用sudo编辑配置文件
• 服务启动失败：使用sudo rsyslogd -N1测试配置语法

总结

通过本教程，你已经掌握了Ubuntu日志格式修改的核心方法。利用rsyslog的模板功能，你可以灵活地定制日志输出格式，满足各种运维和安全需求。记住，良好的日志格式是高效系统管理和故障排查的基础。

无论是为了满足企业合规要求，还是为了提升日志分析效率，掌握rsyslog配置教程中的这些技巧都将让你在Linux系统管理中更加得心应手。