CentOS Syslog日志存储空间管理策略
一 总体策略与分层
- 采用“本地轮转 + 远程集中 + 系统日志限容”三层策略:本地用 logrotate 按时间与大小对 /var/log/messages、/var/log/secure、/var/log/maillog 等文件进行切割与压缩;将高流量或关键日志通过 rsyslog 转发到远程日志服务器以分摊磁盘压力;对 journald 设置存储上限,避免系统级日志无限增长。该组合能在单机容量受限时保持稳定,并便于审计与追溯。
二 本地文件轮转 logrotate 配置
- 主配置与触发机制:编辑 /etc/logrotate.conf,确保包含全局策略(如 daily、rotate 7、compress、include /etc/logrotate.d),并由 /etc/cron.daily/logrotate 每日调用;该脚本通常以 /usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf 方式运行,状态文件用于记录轮转历史与位置。
- 针对 Syslog 的推荐配置示例(/etc/logrotate.d/syslog 或 /etc/logrotate.d/messages):
/var/log/messages /var/log/secure /var/log/maillog {
daily
rotate 14
compress
delaycompress
missingok
notifempty
create 640 root adm
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
要点说明:
- 使用 postrotate … HUP 通知 rsyslog 重新打开日志文件,避免信号中断写入;若采用 copytruncate 可免 HUP,但存在极小概率丢日志的风险,优先选择“reload/信号通知”方式。
- 关键参数含义:daily(按天轮转)、rotate 14(保留两周)、compress(gzip 压缩)、delaycompress(本次不压,下次再压)、missingok(文件缺失不报错)、notifempty(空文件不轮转)、create 640 root adm(重建文件权限与属主)。
三 基于大小的触发与高频日志控制
- 大小触发与周期互斥:在 logrotate 中一旦设置 size(如 size 100M),则与 daily/weekly/monthly 的周期条件互斥,变为“每次执行时若超过该大小即轮转”。适合突发流量或特定服务的日志控容。
- 高频日志的专项策略:对 keepalived 等高频心跳日志,建议单独配置轮转(缩短周期或降低保留数),并配合 notifempty、missingok 等稳健选项,避免短时间内占满磁盘。
- 快速验证与回滚:配置完成后用 logrotate -f /etc/logrotate.d/syslog 强制执行一次,观察 /var/log/messages-YYYYMMDD.gz 是否生成、权限是否正确,并确认 rsyslog 无异常重启或丢日志现象。
四 journald 存储上限与清理
- 编辑 /etc/systemd/journald.conf,设置系统级日志容量上限并启用压缩,例如:
[Journal]
Storage=persistent
Compress=yes
SystemMaxUse=1G
SystemKeepFree=500M
RuntimeMaxUse=100M
- 使配置生效并观察效果:执行 systemctl restart systemd-journald;如需快速回收空间,可使用 journalctl --vacuum-time=7d(保留最近 7 天)或 –vacuum-size=500M 按容量回收。注意:journald 的 SystemMaxUse 与 logrotate 管理的文本日志是两套机制,建议同时配置以双重保障。
五 远程集中与容量规划
- 将日志外发至集中平台:在 /etc/rsyslog.conf 或 /etc/rsyslog.d/remote.conf 中添加规则,例如
# UDP
*.* @192.0.2.10:514
# TCP(更可靠)
*.* @@192.0.2.10:514
远程集中可显著降低本机磁盘占用,并便于在 ELK 或 Loki 中统一检索、告警与可视化;在资源受限或云原生环境中,Loki 相对更轻量。容量规划建议:按“峰值日产生量 × 保留天数 × 安全系数(≥1.5)”估算本地缓冲与远程存储,并为突发流量预留余量。
