如何通过Rsyslog在Linux系统中设置日志颜色优先级,以支持实时巡检辅助?
- 内容介绍
- 文章标签
- 相关推荐
本文共计961个文字,预计阅读时间需要4分钟。
Rsyslog 本身不支持日志颜色显示,它是一个系统级的日志守护进程,负责接收、过滤、路由和记录日志。它不负责终端的渲染。
要实现人工在线实时巡检时按优先级看到不同颜色的功能,关键不在 rsyslog 的配置,而在于日志消耗端的着色方案。
以下是一个基于日志消耗端着色方案的示例:
用 ccze 或 grc 实时着色标准日志流
这是最轻量、最贴近你需求的做法:保持 rsyslog 原样工作(例如把日志写入 /var/log/messages),再用着色工具包装 tail -f 输出。
- 安装 ccze:sudo apt install ccze(Debian/Ubuntu)或 sudo yum install ccze(RHEL/CentOS)
- 实时查看并着色:sudo tail -f /var/log/messages | ccze -A
- ccze 默认识别 emerg、alert、crit、err、warning、notice 等 syslog 优先级,并映射为红、橙、黄、粉等高对比颜色
- 加 -A 参数启用 ANSI 转义序列,确保颜色生效;可配合 -x(禁用插件)或自定义配置文件增强匹配精度
用 systemd-journald + journalctl --no-pager(推荐替代方案)
如果你的系统已启用 systemd(现代 Linux 发行版默认),journald 原生支持结构化日志和优先级着色,无需额外工具:
- journalctl -f -p err 实时跟踪错误及以上级别(自动红色高亮)
- journalctl -f 默认就对 emerg(红底白字)、alert(红)、crit(亮红)、err(红)、warning(黄)等做 ANSI 着色
- 颜色行为由 SYSTEMD_COLORS=1 环境变量控制,通常已启用;若失效可显式运行:SYSTEMD_COLORS=1 journalctl -f
- 相比传统 rsyslog + 文件,journald 更易过滤(-t sshd、-u nginx.service)、支持 JSON 输出、且默认启用日志压缩与轮转
在 rsyslog 中添加标记便于下游着色(进阶适配)
若必须保留 rsyslog 并对接自定义着色脚本(如 awk + echo -e),可在日志行开头注入可识别的前缀:
- 编辑 /etc/rsyslog.conf 或 /etc/rsyslog.d/50-custom.conf
- 添加模板,把 priority 名称嵌入日志内容:template(name="ColoredPrefix" type="string" string="%timestamp% %hostname% %syslogtag%%msg%\n")
- 更实用的是用 property 替换器提取 priority 名称:template(name="PriorityTagged" type="string" string="%timestamp% [%pri-text%] %hostname% %syslogtag%%msg%\n")
- 然后在输出规则中使用该模板:*.* /var/log/colored.log;PriorityTagged
- 后续可用 tail -f /var/log/colored.log | awk '/\[emerg\]/ {print "\033[41;37m" $0 "\033[0m"; next} ...' 实现简单着色(但不如 ccze 稳定)
避免常见误区
不要尝试让 rsyslog 直接输出 ANSI 转义码到文件——这会污染日志内容,破坏后续 grep、logrotate、ELK 等工具解析;也不要修改 /etc/issue 或 shell 提示符来“模拟”日志颜色。颜色必须发生在“人眼看到之前最后一环”,即终端渲染阶段。
本文共计961个文字,预计阅读时间需要4分钟。
Rsyslog 本身不支持日志颜色显示,它是一个系统级的日志守护进程,负责接收、过滤、路由和记录日志。它不负责终端的渲染。
要实现人工在线实时巡检时按优先级看到不同颜色的功能,关键不在 rsyslog 的配置,而在于日志消耗端的着色方案。
以下是一个基于日志消耗端着色方案的示例:
用 ccze 或 grc 实时着色标准日志流
这是最轻量、最贴近你需求的做法:保持 rsyslog 原样工作(例如把日志写入 /var/log/messages),再用着色工具包装 tail -f 输出。
- 安装 ccze:sudo apt install ccze(Debian/Ubuntu)或 sudo yum install ccze(RHEL/CentOS)
- 实时查看并着色:sudo tail -f /var/log/messages | ccze -A
- ccze 默认识别 emerg、alert、crit、err、warning、notice 等 syslog 优先级,并映射为红、橙、黄、粉等高对比颜色
- 加 -A 参数启用 ANSI 转义序列,确保颜色生效;可配合 -x(禁用插件)或自定义配置文件增强匹配精度
用 systemd-journald + journalctl --no-pager(推荐替代方案)
如果你的系统已启用 systemd(现代 Linux 发行版默认),journald 原生支持结构化日志和优先级着色,无需额外工具:
- journalctl -f -p err 实时跟踪错误及以上级别(自动红色高亮)
- journalctl -f 默认就对 emerg(红底白字)、alert(红)、crit(亮红)、err(红)、warning(黄)等做 ANSI 着色
- 颜色行为由 SYSTEMD_COLORS=1 环境变量控制,通常已启用;若失效可显式运行:SYSTEMD_COLORS=1 journalctl -f
- 相比传统 rsyslog + 文件,journald 更易过滤(-t sshd、-u nginx.service)、支持 JSON 输出、且默认启用日志压缩与轮转
在 rsyslog 中添加标记便于下游着色(进阶适配)
若必须保留 rsyslog 并对接自定义着色脚本(如 awk + echo -e),可在日志行开头注入可识别的前缀:
- 编辑 /etc/rsyslog.conf 或 /etc/rsyslog.d/50-custom.conf
- 添加模板,把 priority 名称嵌入日志内容:template(name="ColoredPrefix" type="string" string="%timestamp% %hostname% %syslogtag%%msg%\n")
- 更实用的是用 property 替换器提取 priority 名称:template(name="PriorityTagged" type="string" string="%timestamp% [%pri-text%] %hostname% %syslogtag%%msg%\n")
- 然后在输出规则中使用该模板:*.* /var/log/colored.log;PriorityTagged
- 后续可用 tail -f /var/log/colored.log | awk '/\[emerg\]/ {print "\033[41;37m" $0 "\033[0m"; next} ...' 实现简单着色(但不如 ccze 稳定)
避免常见误区
不要尝试让 rsyslog 直接输出 ANSI 转义码到文件——这会污染日志内容,破坏后续 grep、logrotate、ELK 等工具解析;也不要修改 /etc/issue 或 shell 提示符来“模拟”日志颜色。颜色必须发生在“人眼看到之前最后一环”,即终端渲染阶段。