linux Syslog是什麼：深度解析日誌系統的運作、配置與重要性

Table of Contents

什麼是 Linux Syslog？深入淺出理解系統日誌的核心

在 Linux 系統管理的世界中，Syslog 是一個無可取代的核心組件。它不僅僅是一個軟體或一個檔案，而是一套標準的日誌記錄協定（protocol）以及實現這個協定的服務。簡單來說，Syslog 的目的在於提供一個集中化的標準方式，讓系統內部的各種程式、服務和作業系統核心能夠產生並發送日誌訊息，這些訊息隨後會被收集、儲存，並可在需要時進行檢視和分析。

想像一下您的 Linux 系統是一個龐大的城市，裡面有各種各樣的建築物（應用程式）、車輛（服務）和基礎設施（核心）。Syslog 就像是這個城市的「中央訊息中心」，所有重要的事件（無論是正常的運行、警告、錯誤還是安全相關的活動）都會被記錄下來並傳送到這裡。透過這些日誌，系統管理員可以瞭解系統的健康狀況、追蹤問題、監控安全事件，甚至預測潛在的故障。

Syslog 的定義與基本概念

Syslog 協定最初由 Eric Allman 於 1980 年代為 Sendmail 專案開發，後來成為 UNIX 系統上日誌記錄的事實標準，並最終被 IETF 標準化為 RFC 3164，之後又被更新為 RFC 5424，加入了更多現代化的功能。

它的核心概念是將日誌訊息分為兩個主要部分：

Facility (設施)：指明訊息的來源，也就是哪個系統組件產生了這條日誌。例如，郵件系統、認證系統、核心、使用者層級程式等。
Severity Level (嚴重等級/優先順序)：指明訊息的重要性或嚴重程度。從最嚴重的緊急情況到除錯訊息，共有八個等級。

當系統中任何一個程式或服務產生日誌時，它會帶上這兩個資訊，然後 Syslog 服務器會根據這些資訊和預設的規則，決定將日誌寫入哪個檔案、發送到哪個遠端伺服器，或者丟棄。

Syslog 的重要性與應用場景

Syslog 在 Linux 系統管理中扮演著至關重要的角色，其應用場景廣泛：

故障排除 (Troubleshooting)：當系統或應用程式出現異常時，日誌是診斷問題的第一手資料。透過分析日誌，可以迅速定位錯誤的根源。
安全監控 (Security Monitoring)：Syslog 記錄了用戶登入、登出、權限變更、防火牆活動、失敗的登入嘗試等安全相關事件。這些日誌對於識別潛在的入侵行為或惡意活動至關重要。
性能監控與容量規劃 (Performance Monitoring & Capacity Planning)：某些日誌會記錄資源使用情況或服務響應時間，可以幫助管理員瞭解系統負載，並為未來的擴展做出規劃。
法規遵循與審計 (Compliance & Auditing)：許多行業和法規要求企業保留系統日誌，以便在需要時進行審計，證明系統的合規性。
行為分析 (Behavioral Analysis)：透過長期累積和分析日誌數據，可以識別出系統的正常行為模式，從而更容易地發現異常。

Syslog 的核心組件與運作原理

理解 Syslog 如何運作，需要深入其背後的組件和日誌訊息的構成方式。

日誌訊息的構成：Facility 與 Severity Level

每一條 Syslog 訊息都包含一個優先級（Priority），這個優先級是由設施（Facility）和嚴重等級（Severity Level）組合而成的。

Facility (設施)

Facility 用於識別產生訊息的應用程式或系統組件的類型。這使得日誌可以被分類，並根據來源進行處理。常見的 Facility 類型包括：

kern：核心訊息。
user：使用者層級的應用程式訊息。
mail：郵件系統訊息。
daemon：系統守護程序（daemon）訊息，如 Apache、Nginx 等。
auth 或 authpriv：認證或授權相關的訊息（如 sudo、SSH 登入）。authpriv 通常用於需要更高安全性的認證訊息。
syslog：Syslog 服務本身的訊息。
lpr：印表機系統訊息。
news：網路新聞系統訊息。
cron：排程任務（Cron）訊息。
local0 到 local7：預留給使用者自訂的應用程式使用。這在隔離特定應用程式的日誌時非常有用。

Severity Level (嚴重等級)

Severity Level 用於指示訊息的嚴重性。數字越小表示越嚴重。

0 - emerg (Emergency)：緊急，系統不可用。通常會廣播給所有用戶。
1 - alert (Alert)：警報，必須立即採取行動。例如，資料庫損毀。
2 - crit (Critical)：嚴重錯誤，系統核心功能失效。
3 - err (Error)：錯誤，但系統仍可運行，無需立即處理。
4 - warning (Warning)：警告，可能導致問題發生。
5 - notice (Notice)：通知，正常但重要的事件。
6 - info (Informational)：資訊，一般性資訊性訊息，如系統啟動/停止。
7 - debug (Debug)：除錯，用於除錯目的的詳細資訊。

當您在配置 Syslog 規則時，可以使用 facility.level 的格式來匹配訊息，例如 authpriv.info 表示所有來自認證系統的資訊性及以上（更嚴重）的訊息。使用星號 * 可以匹配所有 Facility 或所有 Severity Level，例如 *.info 表示所有 Facility 的資訊性及以上訊息。

Syslog 服務器、客戶端與轉發

Syslog 的運作模式可以被視為一個簡單的客戶端-服務器模型：

Syslog 客戶端 (Client)：系統中的各種應用程式、服務或核心模組。當它們產生日誌訊息時，會將這些訊息發送到本機的 Syslog 守護程序。
Syslog 守護程序 (Daemon / Server)：這是 Linux 系統上實際負責接收、處理和儲存日誌訊息的服務。常見的實現有 rsyslog、syslog-ng 和較新的 journald。它會根據預設或管理員配置的規則，將日誌寫入本地檔案，或轉發到其他 Syslog 服務器。
遠端 Syslog 服務器 (Remote Syslog Server)：為了集中管理和分析日誌，可以配置本機的 Syslog 守護程序將日誌發送到網路上的另一台專用 Syslog 服務器。這有助於提高安全性（即使本地日誌被清除，遠端仍有備份）和管理效率。通常使用 UDP 514 埠或 TCP 514 埠進行傳輸。

Syslog 的演進：rsyslog、syslog-ng 與 journald

Syslog 協定雖然簡單，但隨著時間推移，對日誌處理的需求越來越複雜，導致出現了多種強大的 Syslog 守護程序實作。

原始 Syslogd：最基本的 Syslog 守護程序，功能有限，主要用於寫入本地檔案。

rsyslog

rsyslog (Rocket-fast System for log processing) 是現代 Linux 發行版中最常用且功能最強大的 Syslog 實作之一（例如在 Debian、Ubuntu、Red Hat 系列系統中）。它兼容原始的 Syslog 協定，但提供了許多增強功能：

高性能：能夠處理大量的日誌訊息。
可靠傳輸：支援 TCP、SSL/TLS 等協定進行遠端日誌傳輸，確保日誌不丟失。
多輸出格式：支援將日誌輸出到資料庫（MySQL, PostgreSQL）、日誌分析工具（Elasticsearch, Splunk）、訊息佇列等。
過濾功能：強大的過濾規則，可以根據內容、程序ID、主機名等多種條件來處理日誌。
模組化設計：提供各種輸入/輸出模組，擴展性強。

syslog-ng

syslog-ng (Syslog next generation) 是另一個功能強大的開源 Syslog 實作，與 rsyslog 類似，它也提供了高級過濾、多種輸出選項和可靠傳輸。在某些場景下，它可能比 rsyslog 更輕量或在某些配置上更具靈活性，因此也被廣泛使用。選擇 rsyslog 還是 syslog-ng 往往取決於個人偏好、發行版預設以及特定功能需求。

journald (Systemd Journal)

隨著 Systemd 成為多數現代 Linux 發行版（如 CentOS/RHEL 7+、Ubuntu 15.04+、Fedora）的預設初始化系統，其內建的日誌系統 journald 也日益重要。

整合性：journald 與 Systemd 緊密整合，可以直接接收來自核心、Systemd 服務和應用程式的日誌。
二進制日誌：與傳統 Syslog 的純文本日誌不同，journald 儲存的是結構化的二進制日誌。這使得日誌可以被更高效地索引、查詢和過濾。
查詢工具：使用 journalctl 命令可以對 journald 的二進制日誌進行強大的查詢，例如按服務、按時間、按優先級、按單元等進行過濾。
與 rsyslog 協同工作：儘管 journald 是預設日誌系統，但它通常會與 rsyslog 或 syslog-ng 協同工作。journald 可以將其接收到的日誌轉發給 rsyslog，以便 rsyslog 將其寫入傳統的純文本檔案（如 /var/log/syslog）或發送到遠端 Syslog 服務器。這確保了兼容性和靈活性。

Linux 系統中常見的 Syslog 檔案位置

Syslog 服務通常會將收集到的日誌儲存在 /var/log/ 目錄下。這個目錄是系統日誌的標準存放位置。以下是一些最常見的日誌檔案及其內容：

主要的日誌檔案

/var/log/messages 或 /var/log/syslog：這是最通用的系統日誌檔案，記錄了大部分非核心、非認證相關的通用系統訊息，包括系統啟動訊息、應用程式訊息、錯誤、警告等。在基於 Debian/Ubuntu 的系統中，通常是 /var/log/syslog；在基於 Red Hat/CentOS 的系統中，通常是 /var/log/messages。
/var/log/auth.log 或 /var/log/secure：記錄所有認證和授權相關的事件。這包括用戶登入（成功和失敗）、sudo 命令使用、SSH 連線、PAM 模組活動等。對於安全審計和入侵檢測至關重要。
/var/log/kern.log：記錄來自 Linux 核心的訊息，如核心啟動訊息、驅動程序訊息、硬體錯誤、網路相關訊息等。
/var/log/daemon.log：記錄各種系統守護程序（daemon）的訊息，例如 Apache、Nginx、MySQL 等服務的啟動、停止、錯誤訊息。
/var/log/debug 或 /var/log/debug.log：包含除錯級別的訊息，通常比其他日誌更詳細，用於程式開發或深度故障排除。
/var/log/maillog 或 /var/log/mail.log：記錄郵件服務器（如 Postfix, Sendmail）的活動，包括郵件發送、接收、傳輸錯誤等。
/var/log/boot.log：記錄系統啟動過程中的訊息。
/var/log/dmesg：嚴格來說，這不是 Syslog 直接寫入的檔案，而是 dmesg 命令的輸出，通常在系統啟動時顯示核心環緩衝區（kernel ring buffer）的訊息。這些訊息在系統啟動後，也會被 Syslog 守護程序收集到 kern.log 或 messages 中。
/var/log/lastlog：記錄所有用戶最後一次登入系統的資訊，這是一個二進制檔案，需要使用 lastlog 命令查看。
/var/log/wtmp：記錄所有用戶登入和登出系統的歷史記錄，也是一個二進制檔案，可以使用 who 或 last 命令查看。
/var/log/btmp：記錄所有失敗的登入嘗試，是一個二進制檔案，可以使用 lastb 命令查看。對於監控暴力破解攻擊非常有用。
/var/log/faillog：記錄失敗的登入嘗試次數，以及在某個用戶帳戶被鎖定之前還能有多少次登入嘗試，可以使用 faillog 命令查看。

日誌輪替（Log Rotation）

由於系統日誌會持續增長，如果不及時管理，它們會佔用大量的磁碟空間，甚至導致磁碟滿載。為了防止這種情況，Linux 系統通常會使用 logrotate 工具來進行日誌輪替 (Log Rotation)。

logrotate 會定期（例如每天、每週或每月）將舊的日誌檔案重新命名、壓縮，並在達到一定數量或大小後刪除最舊的日誌檔案。這樣可以有效地管理磁碟空間，同時保留足夠的歷史日誌以供分析。logrotate 的配置文件通常在 /etc/logrotate.conf 和 /etc/logrotate.d/ 目錄下。

如何配置 Linux Syslog 服務（rsyslog 為例）

大多數現代 Linux 系統使用 rsyslog 作為預設的 Syslog 守護程序。它的主要配置文件是 /etc/rsyslog.conf，以及在 /etc/rsyslog.d/ 目錄下的其他單獨配置檔案（通常建議在這裡創建自己的配置文件，以保持主文件的整潔）。

rsyslog.conf 配置檔案結構

rsyslog.conf 的配置通常包含幾個主要部分：

模組 (Modules)：用於加載特定的功能模組，例如輸入模組（接收網路日誌）、輸出模組（發送日誌到資料庫）、解析模組等。

範例：
$ModLoad imudp # 啟用 UDP 接收模組，用於接收來自遠端的日誌 $UDPServerRun 514 # 在 UDP 514 埠上啟動日誌接收服務 $ModLoad imtcp # 啟用 TCP 接收模組 $InputTCPServerRun 514 # 在 TCP 514 埠上啟動日誌接收服務
全域指令 (Global Directives)：影響 rsyslog 整體行為的設定，如工作目錄、使用者和群組權限、日誌文件緩衝區大小等。

範例：
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat # 設定預設日誌格式
規則 (Rules)：這是最核心的部分，定義了如何處理不同類型的日誌訊息。每個規則由兩部分組成：選擇器 (Selector) 和 動作 (Action)。
- 選擇器 (Selector)：定義了要匹配的日誌訊息類型，格式為 facility.level。您可以指定多個 facility 或 level，用逗號分隔。特殊符號包括：
  - *：所有。例如 *.info 表示所有設施的 info 及以上等級。
  - =：僅匹配該等級。例如 kern.=info 僅匹配核心的 info 級別。
  - !：不匹配。例如 mail.!=info 不匹配郵件系統的 info 級別。
- 動作 (Action)：定義了當日誌訊息匹配選擇器時要執行的操作，例如寫入檔案、發送到遠端主機、執行程式、丟棄等。

常用配置範例

1. 將特定類型的日誌寫入特定檔案

將所有認證相關的日誌（包括普通用戶和特權用戶）寫入 /var/log/auth.log：
auth,authpriv.* /var/log/auth.log

將所有來自核心的錯誤及更高級別的訊息寫入 /var/log/kernel_errors.log：
kern.err /var/log/kernel_errors.log

2. 將日誌發送到遠端 Syslog 服務器

將所有日誌（所有 facility 和所有 level）發送到 IP 地址為 192.168.1.100 的遠端 Syslog 服務器。

使用 UDP 傳輸（不保證送達）：
*.* @192.168.1.100:514
使用 TCP 傳輸（保證送達，但在服務器無響應時會阻塞）：
*.* @@192.168.1.100:514

若要接收遠端日誌，需要在服務器端啟用相應的模組（如 imudp 或 imtcp）並開放埠號。

3. 丟棄特定日誌

如果您不想記錄某些特定類型或來源的日誌（例如，來自特定應用的除錯訊息），可以使用 ~ 符號丟棄它們。

丟棄所有除錯訊息：
*.debug ~
丟棄來自郵件系統的所有訊息：
mail.* ~

注意：規則是按順序處理的。一旦一條日誌訊息匹配了某個規則並被處理（例如被丟棄），它就不會再被後續的規則處理。

4. 將日誌發送到使用者終端

將緊急訊息廣播給所有登入的用戶：
*.emerg *

重啟 rsyslog 服務

在修改了 /etc/rsyslog.conf 或 /etc/rsyslog.d/ 中的任何配置檔案後，您需要重啟 rsyslog 服務以使更改生效。

對於使用 Systemd 的系統（大多數現代 Linux）：
sudo systemctl restart rsyslog

若要檢查服務狀態：
sudo systemctl status rsyslog

如何查看與分析 Linux 系統日誌

查看和分析日誌是系統管理的重要組成部分。Linux 提供了多種工具來幫助您完成這項任務。

使用 tail 與 less 命令

`tail` 命令

tail 命令用於查看檔案的末尾內容，對於監控實時日誌非常有用。

查看檔案末尾幾行：
tail /var/log/syslog
實時監控日誌 (Follow)：使用 -f 選項可以讓 tail 實時顯示新追加到檔案的內容，當有新的日誌生成時會立即顯示出來。
tail -f /var/log/auth.log
這對於故障排除非常有用，您可以邊操作邊觀察日誌。
查看指定行數：
tail -n 50 /var/log/messages # 顯示最後 50 行

`less` 命令

less 命令是一個分頁查看器，非常適合查看大型日誌檔案，它允許您向上或向下滾動、搜尋內容而無需將整個檔案加載到記憶體中。
less /var/log/kern.log

在 less 介面中：

使用箭頭鍵或 Page Up/Down 滾動。
輸入 / 後跟關鍵字進行向下搜尋，按 n 查找下一個匹配。
輸入 ? 後跟關鍵字進行向上搜尋。
按 q 退出。

使用 grep 命令過濾日誌

grep 命令用於在文本中搜尋匹配指定模式的行。結合 tail 或 cat，它成為一個強大的日誌分析工具。

搜尋特定關鍵字：
cat /var/log/syslog | grep "error"
這會顯示 /var/log/syslog 中所有包含 “error” 關鍵字的行。
搜尋多個關鍵字 (OR 關係)：使用 -E (或 egrep) 配合 |。
grep -E "error|fail|warn" /var/log/messages
不區分大小寫搜尋：
grep -i "ssh" /var/log/auth.log
結合 tail -f 實時過濾：
tail -f /var/log/auth.log | grep "Failed password"
這會實時顯示所有失敗的 SSH 登入嘗試。

使用 journalctl 命令（systemd 系統）

對於使用 Systemd 的現代 Linux 發行版（如 CentOS 7+、Ubuntu 15.04+、Fedora），journalctl 是查看和查詢日誌的首選工具。它用於查詢 systemd-journald 服務收集的二進制日誌。

journalctl 的優勢在於其強大的過濾和查詢能力，可以按時間、服務、優先級、用戶等進行篩選。

顯示所有日誌：
journalctl
預設以分頁方式顯示。
實時監控日誌：
journalctl -f
功能類似 tail -f。
按服務單元過濾：查看特定服務（如 Nginx、SSHD）的日誌。
journalctl -u nginx.service journalctl -u sshd
按優先級過濾：查看所有錯誤或更嚴重等級的日誌。
journalctl -p err
可選的優先級：emerg, alert, crit, err, warning, notice, info, debug。
按時間範圍過濾：
journalctl --since "2023-01-01 10:00:00" --until "2023-01-01 11:00:00" journalctl --since "yesterday" journalctl --since "2 hours ago"
查看核心訊息：
journalctl -k
查看特定執行緒或程序ID的日誌：
journalctl _PID=1234
以純文本格式輸出：
journalctl -u sshd -o cat # 類似 cat 的輸出，不包含標題訊息

Syslog 在系統安全與故障排除中的應用

Syslog 日誌不僅是系統運行狀態的記錄，更是系統安全防禦和故障快速恢復的關鍵工具。

安全審計

日誌是安全事件的寶貴證據鏈。透過分析 /var/log/auth.log (或 /var/log/secure) 中的記錄，管理員可以：

識別未經授權的存取嘗試：監控大量失敗的登入嘗試可能表明暴力破解攻擊正在進行。
追蹤用戶活動：瞭解特定用戶（特別是 root 或特權用戶）在系統上執行了哪些操作，何時登入，何時登出。
監控敏感操作：例如 sudo 使用情況、權限變更、新用戶創建或刪除等。
檢測惡意軟體活動：某些惡意軟體會在日誌中留下蛛絲馬跡，例如異常的網絡連接或檔案存取模式。

將日誌集中到遠端 Syslog 服務器是提高日誌安全性的最佳實踐，因為即使入侵者成功地清理了本地日誌，遠端服務器上的副本仍然存在。

故障排除與性能監控

Syslog 日誌是解決系統和應用程式問題的「黑盒子記錄儀」。

定位應用程式錯誤：應用程式崩潰或行為異常時，其錯誤訊息通常會被寫入 daemon.log 或 messages，提供錯誤的類型、發生的時間和相關背景資訊。
診斷網絡問題：防火牆拒絕連接、DHCP 租約問題或 DNS 解析失敗等網絡相關事件，經常在 kern.log 或 messages 中留下記錄。
硬體故障預警：核心日誌（kern.log）可能包含關於磁碟錯誤、記憶體問題或其他硬體故障的早期警告。
資源耗盡警報：某些應用程式在資源（如記憶體、CPU）耗盡時，會在日誌中輸出警告，幫助管理員預測和預防系統崩潰。

透過定期審查和分析日誌，系統管理員可以從被動的「滅火」轉變為主動的「預防」，大大提高了系統的穩定性和可用性。

常見問題 (FAQ)

為何我的 Linux 系統日誌突然暴增，佔用了大量磁碟空間？

當 Linux 系統日誌突然暴增時，通常有幾個原因：

應用程式錯誤或除錯模式：某個應用程式或服務可能進入了錯誤循環，或被意外地設定為除錯模式，導致產生大量的詳細日誌。
系統異常或硬體故障：例如磁碟陣列出現錯誤、網路卡不斷重置、或者核心模組出現問題，都會向日誌系統瘋狂輸出訊息。
安全事件或攻擊：大量的失敗登入嘗試、防火牆拒絕日誌、或入侵檢測系統的警報，可能是系統正在遭受攻擊的跡象。
配置錯誤：rsyslog.conf 中可能存在配置錯誤，導致某些訊息被重複寫入，或者日誌輪替 (logrotate) 未正常工作。

您可以透過 tail -f /var/log/messages 或 journalctl -f 觀察實時日誌，找出是哪個程序或什麼類型的訊息正在大量產生。同時檢查 /etc/logrotate.conf 和 /etc/logrotate.d/ 確保日誌輪替正常。

如何確保我的 Syslog 日誌不被篡改或刪除？

為了確保 Syslog 日誌的完整性和不可篡改性，可以採取以下措施：

遠端日誌集中化：將所有系統的日誌發送到一台專用的、高度安全的遠端 Syslog 服務器。即使本地系統被入侵，遠端日誌仍然保留，作為取證的證據。
最小化本地日誌儲存：在本地只保留短期或必要的日誌，將大部分日誌傳輸到遠端，並配置 logrotate 快速輪替或刪除本地舊日誌。
實施日誌完整性檢查：使用如 AIDE (Advanced Intrusion Detection Environment) 或 Tripwire 等檔案完整性監控工具，監控日誌檔案和 Syslog 配置文件的變化。
嚴格的檔案權限：確保日誌檔案具有適當的權限（例如 -rw-r----- 或 -rw-------），只有 root 用戶和 adm 或 syslog 組可以讀取。
Immutable 檔案屬性：對於極度敏感的日誌，可以使用 chattr +i 命令將其設置為不可變動 (immutable)，即使是 root 也無法刪除或修改，直到該屬性被移除。但這會影響 logrotate。

Syslog、rsyslog 和 journald 有什麼區別？

這三者關係密切，但扮演不同角色：

Syslog (協定)：它是一個標準的日誌記錄協定，定義了日誌訊息的格式（Facility、Severity Level）以及傳輸方式。它是一種規範。
rsyslog (守護程序/實現)：它是 Syslog 協定的一個流行且功能強大的開源實現（或稱守護程序/服務）。它負責在 Linux 系統上接收、處理、儲存和轉發遵循 Syslog 協定的日誌訊息。rsyslogd 是運行在後台的進程。
journald (Systemd Journal)：它是 Systemd 初始化系統內建的日誌管理服務。它以二進制格式儲存日誌，提供了更豐富的元數據和強大的查詢功能（透過 journalctl 命令）。journald 通常會與 rsyslog 協同工作，將其收集的日誌轉發給 rsyslog，以便 rsyslog 將其以傳統純文本格式寫入 /var/log/ 目錄，或轉發到遠端 Syslog 服務器，以保持兼容性。

簡而言之，Syslog 是「怎麼記錄」的規範，rsyslog 是「誰來記錄和處理」的服務，而 journald 則是現代 Systemd 系統中「更高效、結構化的記錄和查詢」的方式，且通常與 rsyslog 並存。

我的日誌檔案佔用了太多空間，該如何處理？

日誌檔案過大是一個常見問題。您可以採取以下措施：

檢查 logrotate 配置：確保 /etc/logrotate.conf 和 /etc/logrotate.d/ 中的配置是合理的。您可以增加日誌輪替的頻率（例如從每週改為每天），減少保留的輪替次數，或者啟用壓縮（compress 選項）。
調整 Syslog 配置：
- 過濾掉不必要的除錯日誌：在 /etc/rsyslog.conf 中，對於您不關心的除錯或過於冗長的日誌，可以使用 ~ 符號將其丟棄。例如：*.debug ~。
- 只記錄關鍵日誌：審查您的應用程式配置，避免它們在生產環境中輸出過多的除錯信息。
遠端日誌集中化：將日誌發送到遠端 Syslog 服務器或日誌管理平台，這樣可以大幅減少本地磁碟的壓力，同時便於集中分析。
手動清理（臨時方案）：在確定安全的情況下，您可以手動刪除舊的或大的日誌檔案。但請注意，不要直接刪除正在被寫入的日誌檔案，最好先停止相關服務，或使用 > filename 清空檔案內容（而不是刪除檔案本身），然後重啟服務。這僅作為臨時解決方案，應優先配置 logrotate。

linux Syslog是什麼