Syslog 每条消息最大长度分析

Log4j与Syslog消息长度限制解析
本文探讨了在使用LogInsight时遇到的日志消息被分割问题,源头在于Log4j发送的syslog消息。根据BSD syslog协议,消息最大为1024字节,扣除PRI部分后,msg部分限制为1019字节。而RFC5424则将最大长度提升至2048字节。Log4j 1.2沿用了BSD标准,而Log4j 2则增加了对RFC5424的支持,提供更灵活的选择。

问题

syslog 就不多说了,最近碰到一个问题:在用LogInsight的时候,一条日志会被分成两条,第一条以…结尾,第二条以…开头,并且第二条没有被正确的建立索引。想了一下由于是用log4j发的syslog消息,所以消息被分割可能是log4j的问题,于是看了一下代码,找到这么两块:

if(packet.length() > 256) {
   this.splitPacket(hdr, packet);
} else {
   this.sqw.write(packet);
}

private void splitPacket(String header, String packet) {
   int byteCount = packet.getBytes().length;
   if(byteCount <= 1019) {
      this.sqw.write(packet);
   } 
### 如何减少或优化Linux系统中auditd服务的内存使用 #### 了解审计子系统的特性 `auditd` 是 Linux 审计框架的一部分,用于记录安全相关事件。该守护进程会持续跟踪文件访问和其他敏感操作,这可能导致大量日志数据被写入磁盘并占用一定量的RAM缓存。 为了有效降低 `auditd` 的内存消耗: #### 配置合理的缓冲区大小 通过调整 `/etc/audisp/plugins.d/syslog.conf` 文件中的参数,可以控制发送给syslog消息队列长度以及每条消息的最大字节数。适当减小这些数值有助于减轻内核空间的压力[^1]。 ```bash # 编辑配置文件 sudo vi /etc/audisp/plugins.d/syslog.conf ``` #### 设置合适的过滤规则 定义精确的日志收集策略非常重要。只监听必要的事件类型能够显著减少不必要的开销。可以在 `/etc/audit/rules.d/audit.rules` 中添加自定义规则来限定关注范围内的活动监视[^2]。 ```bash # 添加新规则至 audit.rules echo "-S execve" | sudo tee -a /etc/audit/rules.d/audit.rules ``` #### 启用压缩存储机制 启用内置的数据压缩功能可节省磁盘I/O带宽从而间接释放部分物理内存。编辑 `/etc/audit/auditd.conf` 来激活此选项,并指定压缩算法如gzip等[^3]。 ```bash # 修改 auditd.conf 开启日志压缩 sudo sed -i 's/^.*space_left_action.*$/space_left_action = SYSLOG/' /etc/audit/auditd.conf sudo systemctl restart auditd.service ``` #### 实施轮转策略 定期清理旧的历史记录同样有利于保持较低水平的工作集尺寸。利用 logrotate 工具自动处理过期档案,确保不会因为长期积累而影响性能表现[^4]。 ```bash # 创建或更新 logrotate 规则 cat <<EOL | sudo tee /etc/logrotate.d/auditd /var/log/audit/*.log { daily rotate 7 compress missingok notifempty } EOL ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值