運維中的日志切割操作梳理

對於Linux系統安全來說，日志文件是極其重要的工具。不知為何，我發現很多運維同學的服務器上都運行着一些諸如每天切分Nginx日志之類的CRON腳本，大家似乎遺忘了Logrotate，爭相發明自己的輪子，這真是讓人沮喪啊！就好比明明身邊躺着現成的性感美女，大家卻忙着自娛自樂，罪過！logrotate程序是一個日志文件管理工具。用於分割日志文件，刪除舊的日志文件，並創建新的日志文件，起到“轉儲”作用。可以節省磁盤空間。下面就對logrotate日志輪轉操作做一梳理記錄：

1）配置文件介紹
Linux系統默認安裝logrotate工具，它默認的配置文件在：
/etc/logrotate.conf
/etc/logrotate.d/

logrotate.conf 才主要的配置文件，logrotate.d 是一個目錄，該目錄里的所有文件都會被主動的讀入/etc/logrotate.conf中執行。
另外，如果 /etc/logrotate.d/ 里面的文件中沒有設定一些細節，則會以/etc/logrotate.conf這個文件的設定來作為默認值。

Logrotate是基於CRON來運行的，其腳本是/etc/cron.daily/logrotate，日志輪轉是系統自動完成的。
實際運行時，Logrotate會調用配置文件/etc/logrotate.conf。
可以在/etc/logrotate.d目錄里放置自定義好的配置文件，用來覆蓋Logrotate的缺省值。

 

[root@huanqiu_web1 ~]# cat /etc/cron.daily/logrotate
#!/bin/sh
 
/usr/sbin/logrotate /etc/logrotate.conf >/dev/null 2>&1
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
    /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi
exit 0

如果等不及cron自動執行日志輪轉，想手動強制切割日志，需要加-f參數；不過正式執行前最好通過Debug選項來驗證一下（-d參數），這對調試也很重要
# /usr/sbin/logrotate -f /etc/logrotate.d/nginx
# /usr/sbin/logrotate -d -f /etc/logrotate.d/nginx

logrotate命令格式：
logrotate [OPTION...] <configfile>
-d, --debug ：debug模式，測試配置文件是否有錯誤。
-f, --force ：強制轉儲文件。
-m, --mail=command ：壓縮日志后，發送日志到指定郵箱。
-s, --state=statefile ：使用指定的狀態文件。
-v, --verbose ：顯示轉儲過程。

根據日志切割設置進行操作，並顯示詳細信息
[root@huanqiu_web1 ~]# /usr/sbin/logrotate -v /etc/logrotate.conf
[root@huanqiu_web1 ~]# /usr/sbin/logrotate -v /etc/logrotate.d/php

根據日志切割設置進行執行，並顯示詳細信息,但是不進行具體操作，debug模式
[root@huanqiu_web1 ~]# /usr/sbin/logrotate -d /etc/logrotate.conf
[root@huanqiu_web1 ~]# /usr/sbin/logrotate -d /etc/logrotate.d/nginx

查看各log文件的具體執行情況
[root@fangfull_web1 ~]# cat /var/lib/logrotate.status

2）切割介紹
比如以系統日志/var/log/message做切割來簡單說明下：
第一次執行完rotate(輪轉)之后，原本的messages會變成messages.1，而且會制造一個空的messages給系統來儲存日志；
第二次執行之后，messages.1會變成messages.2，而messages會變成messages.1，又造成一個空的messages來儲存日志！
如果僅設定保留三個日志（即輪轉3次）的話，那么執行第三次時，則 messages.3這個檔案就會被刪除，並由后面的較新的保存日志所取代！也就是會保存最新的幾個日志。
日志究竟輪換幾次，這個是根據配置文件中的dateext 參數來判定的。

看下logrotate.conf配置：
# cat /etc/logrotate.conf
# 底下的設定是 "logrotate 的默認值" ，如果別的文件設定了其他的值，
# 就會以其它文件的設定為主
weekly          //默認每一周執行一次rotate輪轉工作
rotate 4       //保留多少個日志文件(輪轉幾次).默認保留四個.就是指定日志文件刪除之前輪轉的次數，0 指沒有備份
create         //自動創建新的日志文件，新的日志文件具有和原來的文件相同的權限；因為日志被改名,因此要創建一個新的來繼續存儲之前的日志
dateext       //這個參數很重要！就是切割后的日志文件以當前日期為格式結尾，如xxx.log-20131216這樣,如果注釋掉,切割出來是按數字遞增,即前面說的 xxx.log-1這種格式
compress      //是否通過gzip壓縮轉儲以后的日志文件，如xxx.log-20131216.gz ；如果不需要壓縮，注釋掉就行

include /etc/logrotate.d
# 將 /etc/logrotate.d/ 目錄中的所有文件都加載進來

/var/log/wtmp {                 //僅針對 /var/log/wtmp 所設定的參數
monthly                    //每月一次切割,取代默認的一周
minsize 1M              //文件大小超過 1M 后才會切割
create 0664 root utmp            //指定新建的日志文件權限以及所屬用戶和組
rotate 1                    //只保留一個日志.
}
# 這個 wtmp 可記錄用戶登錄系統及系統重啟的時間
# 因為有 minsize 的參數，因此不見得每個月一定會執行一次喔.要看文件大小。

由這個文件的設定可以知道/etc/logrotate.d其實就是由/etc/logrotate.conf 所規划出來的目錄，雖然可以將所有的配置都寫入/etc/logrotate.conf ，但是這樣一來這個文件就實在是太復雜了，尤其是當使用很多的服務在系統上面時， 每個服務都要去修改/etc/logrotate.conf的設定也似乎不太合理了。
所以，如果獨立出來一個目錄，那么每個要切割日志的服務， 就可以獨自成為一個文件，並且放置到 /etc/logrotate.d/ 當中

其他重要參數說明
---------------------------------------------------------------------------------------------------------
compress                                   通過gzip 壓縮轉儲以后的日志
nocompress                                不做gzip壓縮處理
copytruncate                              用於還在打開中的日志文件，把當前日志備份並截斷；是先拷貝再清空的方式，拷貝和清空之間有一個時間差，可能會丟失部分日志數據。
nocopytruncate                           備份日志文件不過不截斷
create mode owner group             輪轉時指定創建新文件的屬性，如create 0777 nobody nobody
nocreate                                    不建立新的日志文件
delaycompress                           和compress 一起使用時，轉儲的日志文件到下一次轉儲時才壓縮
nodelaycompress                        覆蓋 delaycompress 選項，轉儲同時壓縮。
missingok                                 如果日志丟失，不報錯繼續滾動下一個日志
errors address                           專儲時的錯誤信息發送到指定的Email 地址
ifempty                                    即使日志文件為空文件也做輪轉，這個是logrotate的缺省選項。
notifempty                               當日志文件為空時，不進行輪轉
mail address                             把轉儲的日志文件發送到指定的E-mail 地址
nomail                                     轉儲時不發送日志文件
olddir directory                         轉儲后的日志文件放入指定的目錄，必須和當前日志文件在同一個文件系統
noolddir                                   轉儲后的日志文件和當前日志文件放在同一個目錄下
sharedscripts                           運行postrotate腳本，作用是在所有日志都輪轉后統一執行一次腳本。如果沒有配置這個，那么每個日志輪轉后都會執行一次腳本
prerotate                                 在logrotate轉儲之前需要執行的指令，例如修改文件的屬性等動作；必須獨立成行
postrotate                               在logrotate轉儲之后需要執行的指令，例如重新啟動 (kill -HUP) 某個服務！必須獨立成行
daily                                       指定轉儲周期為每天
weekly                                    指定轉儲周期為每周
monthly                                  指定轉儲周期為每月
rotate count                            指定日志文件刪除之前轉儲的次數，0 指沒有備份，5 指保留5 個備份
dateext                                  使用當期日期作為命名格式
dateformat .%s                       配合dateext使用，緊跟在下一行出現，定義文件切割后的文件名，必須配合dateext使用，只支持 %Y %m %d %s 這四個參數
size(或minsize) log-size            當日志文件到達指定的大小時才轉儲，log-size能指定bytes(缺省)及KB (sizek)或MB(sizem).
當日志文件 >= log-size 的時候就轉儲。 以下為合法格式：（其他格式的單位大小寫沒有試過）
size = 5 或 size 5 （>= 5 個字節就轉儲）
size = 100k 或 size 100k
size = 100M 或 size 100M