Debian如何进行日志文件回收

Debian日志文件回收与保留策略

一核心机制与适用场景

使用 logrotate 管理传统文本日志（如 /var/log/*.log），支持按时间/大小轮转、压缩、删除、邮件通知，配置位于 /etc/logrotate.conf 与 /etc/logrotate.d/，通常由 cron 每日触发。适用于 rsyslog、各类应用服务日志等。
使用 journalctl 管理 systemd-journald 的结构化日志，支持按时间或容量清理，并可结合 /etc/systemd/journald.conf 设置持久化与保留上限，实现系统级日志回收。

二使用 logrotate 回收传统日志

安装与检查
- 安装：sudo apt-get update && sudo apt-get install logrotate
- 触发机制：检查 /etc/cron.daily/logrotate 是否存在，确保由 cron 每日执行。
配置示例（/etc/logrotate.d/myapp）
- 典型策略：每天轮转、保留 7 天、压缩旧日志、延迟压缩、空文件不轮转、按指定权限重建新文件。
- 示例：
```
/var/log/myapp.log {
    daily
    rotate 7
    compress
    delaycompress
    missingok
    notifempty
    create 640 root adm
}
```
测试与执行
- 调试配置：sudo logrotate --debug /etc/logrotate.d/myapp
- 强制执行：sudo logrotate -f /etc/logrotate.d/myapp
- 全局强制执行：sudo logrotate -f /etc/logrotate.conf
常见要点
- 对 /var/log/syslog 等系统日志，常见做法是按周轮转并保留约 4 周：
```
/var/log/syslog {
    weekly
    rotate 4
    compress
    delaycompress
    missingok
    notifempty
    create 0640 root adm
}
```
- 避免直接用 rm 删除正在被 logrotate 管理的日志，优先通过 logrotate 策略与强制执行完成回收。

三使用 journalctl 回收 systemd 日志

按时间清理
- 保留最近 2 周：sudo journalctl --vacuum-time=2weeks
- 保留最近 1 个月：sudo journalctl --vacuum-time=1month
按容量清理
- 最大占用 100MB：sudo journalctl --vacuum-size=100M
持久化与全局保留策略
- 编辑 /etc/systemd/journald.conf，设置持久化与上限，例如：
```
[Journal]
Storage=persistent
SystemMaxUse=50M
SystemKeepFree=1G
MaxRetentionSec=1month
```
- 使配置生效：sudo systemctl daemon-reload && sudo systemctl restart systemd-journald
说明
- 以上命令仅影响 journald 日志；传统文本日志仍需 logrotate 管理。

四手动清理与脚本化回收

定时任务脚本

示例脚本 /usr/local/bin/cleanup.sh：

#!/bin/bash
find /var/log/myapp -type f -name "*.gz" -mtime +14 -delete

systemd 定时器替代方案
- 创建 cleanup.service 与 cleanup.timer，在 timer 中设置 OnCalendar=-- 02:00:00* 并启用，可实现与 cron 等效的定时清理。

五实用建议与注意事项

优先采用 logrotate + journalctl 的组合，分别覆盖文本日志与 journald 日志，避免仅依赖 rm 直接删除。
为关键业务设置合理保留周期（如系统日志保留 4 周、应用日志 7 天），并启用压缩以节省空间。
变更 journald 配置后，务必执行 daemon-reload 与 restart，并通过 journalctl --disk-usage 观察占用变化。
在生产环境执行清理前，确认日志不再用于审计或故障排查，重要日志建议先归档备份。

最新问答