Rsyslog配置指南：使用外部CA签名的TLS证书搭建安全日志服务器

背景与原理

在现代IT基础设施中，集中式日志管理是运维工作的重要环节。Rsyslog作为Linux系统中最常用的日志处理工具，支持通过TLS加密实现安全的远程日志传输。使用由外部CA（证书颁发机构）签名的证书，可以建立企业级可信的日志传输通道，避免自签名证书带来的信任问题。

服务器端配置详解

核心配置要素

1. 全局TLS参数：

   • DefaultNetstreamDriver：指定使用gtls作为默认传输驱动
   • CA证书、服务器证书和私钥的路径配置
   • 建议将证书文件存放在专用目录（如/etc/rsyslog/certificates/）

2. 输入模块配置：

   • 使用imtcp模块监听TCP连接
   • 指定TLS端口（通常为6514）
   • 设置StreamDriver相关参数：
     • Mode=1启用TLS
     • Authmode=anon允许匿名客户端连接（实际生产环境应根据安全需求调整）

最佳实践建议

• 证书文件权限应设置为600，仅允许root用户访问
• 定期检查证书有效期，建议设置自动续期机制
• 考虑使用证书吊销列表(CRL)增强安全性

客户端配置要点

关键配置项

1. 全局CA证书配置：

   • 必须包含服务器证书的签发CA
   • 支持多CA信任链配置

2. 日志转发规则：

   • 使用omfwd输出模块
   • 指定目标服务器地址和端口
   • 启用gtls驱动和TLS模式

注意事项

• 客户端和服务器的CA信任链必须一致
• 生产环境建议使用域名而非IP地址
• 考虑配置本地缓存防止网络中断导致日志丢失

高级配置技巧

多CA信任管理

当客户端使用不同CA签发的证书时，服务器端需要：

1. 将所有相关CA证书合并到同一个CA文件中
2. 按证书链顺序排列（根CA在前）

性能优化

• 调整StreamDriver.Perf参数优化吞吐量
• 考虑启用日志压缩减少带宽占用
• 对于高负载环境，建议使用RELP协议替代TCP

排错指南

常见问题及解决方法：

1. 连接失败：

   • 检查防火墙设置
   • 验证证书有效期
   • 确认客户端和服务器的系统时间同步

2. 证书验证错误：

   • 使用openssl命令验证证书链
   • 检查文件权限和SELinux上下文

3. 性能问题：

   • 调整队列大小参数
   • 考虑使用磁盘辅助队列

通过以上配置，可以建立基于企业级CA的安全日志传输系统，既满足安全合规要求，又能保证日志传输的可靠性。实际部署时，建议先在测试环境验证配置，再逐步推广到生产系统。