如何手动轮换Linux上的日志文件

如何手动轮换Linux上的日志文件

一组日志文件中最旧的日志文件删除后,剩余的日志文件降一格,较新的文件取而代之,成为当前日志文件。这个过程很容易实现自动化,可以根据需要调整详细信息。

你可以通过使用logrotate命令手动轮换日志文件。本文详细介绍了如何手动轮换日志文件和预期看到的内容。

本文中描述的示例适用于Ubuntu和相关的Linux系统。其他系统可能使用不同的日志文件和配置文件名,但是过程本身应大同小异。

为什么轮换日志文件?

在正常情况下,无需手动轮换日志文件。你的Linux系统应该已经被设置为每天(或更久)轮换一些日志,根据日志大小轮换其他日志。如果你需要轮换日志文件以释放空间,或将当前日志与进行中的活动分开来,这很容易做到,但取决于你的文件轮换规格。

介绍一点背景

一旦安装了Linux系统,许多日志文件被设置以便轮换。此外,某些应用程序安装到系统上后会添加自己的日志文件和轮换规格。日志文件轮换的配置文件可以在/etc/logrotate.d目录中找到。

在日志轮换过程中,当前日志通常获得log.1之类的名称,旧log.1变成了log.2,依此类推,而最旧的日志文件(比如log.7)从系统中删除。当然,所保留版本的名称和数量取决于轮换的日志以及/etc/logrotate.d目录中那些文件的轮换规格。对于一些日志文件,只保留了几“代”,而对于另一些日志文件,可能会看到七代甚至更多代。

在通常的日志文件轮换之后,syslog文件可能如下所示。(注意:行尾添加了“was syslog”注释,以说明轮换过程如何影响了文件。)

$ ls -l /var/log/syslog*  


-rw-r----- 1 syslog adm 128674 Mar 10 08:00 /var/log/syslog <== new  


-rw-r----- 1 syslog adm 2405968 Mar 9 16:09 /var/log/syslog.1 <== was syslog  


-rw-r----- 1 syslog adm 206451 Mar 9 00:00 /var/log/syslog.2.gz <== was syslog.1  


-rw-r----- 1 syslog adm 216852 Mar 8 00:00 /var/log/syslog.3.gz <== was syslog.2.gz  


-rw-r----- 1 syslog adm 212889 Mar 7 00:00 /var/log/syslog.4.gz <== was syslog.3.gz  


-rw-r----- 1 syslog adm 219106 Mar 6 00:00 /var/log/syslog.5.gz <== was syslog.4.gz  


-rw-r----- 1 syslog adm 218596 Mar 5 00:00 /var/log/syslog.6.gz <== was syslog.5.gz  

-rw-r----- 1 syslog adm 211074 Mar 4 00:00 /var/log/syslog.7.gz <== was syslog.6.gz 

除了该系统上当前和最新的日志文件外,所有其他日志文件已压缩以节省空间,这不足为奇。大多数系统管理员可能只会查看最新的文件,因此保持其他文件可用但已压缩是明智之举。

手动轮换日志

想手动轮换syslog文件,就要使用logrotate命令,如下所示:

$ sudo logrotate -f /etc/logrotate.d/rsyslog 

请注意,该logrotate命令使用-f(强行轮换)选项。轮换配置详细信息从/etc/logrotate.d/rsyslog目录中的指定文件中提取。然后,该命令将遵循典型的过程——删除syslog.7.gz,将syslog.6.gz移至syslog.7.gz,将syslog.5.gz移至syslog.6.gz,将syslog.4.gz移至syslog .5.gz,将syslog.3.gz移至syslog.4.gz,然后将syslog.2.gz移至syslog.1.gz,但不一定会创建新的syslog文件。你可以使用诸如此类的命令手动执行此操作,以设置文件并确保适当的文件所有权和权限:

$ sudo touch /var/log/syslog  


$ sudo chown syslog:adm /var/log/syslog  

$ sudo chmod 640 /var/log/syslog 

另外,你可以将这一行添加到etc/logrotate.d/rsyslog文件为你做这项工作:

create 0640 syslog adm 

插入以下所示的内容:

/var/log/syslog  


{  


rotate 7  


daily  


missingok  


notifempty  


create 0640 syslog adm <==  


delaycompress  


compress  


postrotate  


/usr/lib/rsyslog/rsyslog-rotate  


endscript  

} 

这是对记录用户登录的wtmp日志文件执行手动日志轮换的例子。注意:由于/etc/logrotate.d/wtmp中的“rotate 2”规格,该系统上只保留了两个wtmp文件。

之前:

$ ls -l wtmp*  


-rw-r----- 1 root utmp 1152 Mar 12 11:49 wtmp  

-rw-r----- 1 root utmp 768 Mar 11 17:04 wtmp.1 

命令:

$ sudo logrotate -f /etc/logrotate.d/wtmp 

之后:

$ ls -l /var/log/wtmp*  


-rw-r----- 1 root utmp 0 Mar 12 11:52 /var/log/wtmp  


-rw-r----- 1 root utmp 1152 Mar 12 11:49 /var/log/wtmp.1  

-rw-r----- 1 root adm 99726 Feb 21 07:46 /var/log/wtmp.report 

注意:每个日志的最新轮换被记录在logrotate的状态文件中——无论轮换是手工执行还是自动执行:

相关推荐