请注意,这个问题主要是关于 openSUSE 发行版的,但也将不胜感激一般的答案。
由于journald可用于完成所有日志记录工作(当禁用forwardtosyslog选项时),我想知道我的机器上是否仍然需要rsyslog。知道从那时起我将主要处理二进制日志文件,我当然会考虑将它用作主日志处理器,因为它本身很智能,需要最少的配置和维护,并且具有许多内置功能来过滤日志。
我尝试的第一件事是看看是否可以卸载 rsyslog 包:sudo zypper rm rsyslog。它没有抱怨。但这个结果本身通常并不值得依赖。
因此我的问题是:你知道如果我删除 rsyslog 是否会破坏某些东西吗?
答案1
除了 rsyslog 根据配置的策略和您可能使用的一些可选工具收集的实际日志之外,没有任何内容会中断,例如各种 logwatches(报告)、DenyHosts(阻止 ssh 尝试)等。此外,您将无法接收日志由其他主机发送(UDP/514)。
请记住,journald 实际上没有任何日志策略。您不能将日志拆分为单独的文件,这些文件可能具有不同的权限(指定用户访问特定日志)、不同的保留策略(logrotate)、没有过滤(阈值除外,在阈值处,journald 开始限制单个日志中的所有条目) Bucket),因此,如果发生垃圾邮件,您的日志输出将毫无用处……并且您可能宝贵的日志可能会过期并自动从磁盘中删除。您无法将日志的某些部分发送到远程计算机(仅限 systemd-journal-upload,它发送所有内容),并且成熟的 syslog 服务器中不存在许多其他限制。
如果您不使用上述任何内容(这是服务器上必须具备的),即如果您除了默认值之外没有配置任何额外的内容,您可能不需要系统日志服务器。
答案2
Journald 完全取代了 rsyslog,因此后者是可选的。