Ubuntu Syslog日志备份策略

Ubuntu Syslog 日志备份策略

一 策略总览

• 本地归档与保留：使用 logrotate 按时间或大小对 /var/log/syslog、/var/log/auth.log 等进行轮转、压缩与清理，确保磁盘空间可控与历史可追溯。
• 异地与长期留存：通过 rsync 或脚本将已轮转的归档日志复制到 NFS/外部磁盘/对象存储，实现离线或远程留存。
• 集中化与冗余：配置 rsyslog 将日志同时转发到 远程日志服务器，避免单机故障导致日志丢失。
• 验证与演练：定期做 备份完整性校验 与 恢复演练，确保关键时刻可用。

二 本地轮转与保留

• 工具与配置路径：Ubuntu 默认使用 rsyslog 记录系统日志，轮转由 logrotate 管理；全局配置 /etc/logrotate.conf，服务配置在 /etc/logrotate.d/rsyslog。常见做法是对 /var/log/syslog、/var/log/auth.log 等设置按天或按大小轮转并压缩归档。示例（按周轮转、保留4份、压缩）：

/var/log/syslog {
    weekly
    missingok
    rotate 4
    compress
    delaycompress
    notifempty
    create 640 root adm
    postrotate
        /usr/lib/rsyslog/rsyslog-daemon reload >/dev/null 2>&1 || true
    endscript
}

• 按大小触发：也可结合 size 与 maxsize 实现“时间或大小任一条件满足即轮转”，例如当文件达到 100MB 即滚动，且每周至少检查一次：

/var/log/syslog {
    size 100M
    maxsize 100M
    weekly
    rotate 4
    compress
    missingok
    notifempty
    create 640 root adm
    postrotate
        /usr/lib/rsyslog/rsyslog-daemon reload >/dev/null 2>&1 || true
    endscript
}

• 生效与测试：logrotate 通常由 /etc/cron.daily/logrotate 每日触发；可手动测试配置与强制执行：

sudo logrotate -d /etc/logrotate.d/rsyslog   # 调试模式，不真正执行
sudo logrotate -f /etc/logrotate.d/rsyslog   # 强制执行一次
cat /var/lib/logrotate/status              # 查看最近轮转状态

上述做法覆盖按时间与按大小的常见轮转需求，并给出调试与状态查看方法。

三 异地与远程备份

• rsync 增量归档到外部存储：将已轮转的压缩日志目录（如 /var/log/ 下的历史文件）增量同步到备份位置，并做简单校验与清理。

# 每日 02:00 增量同步，--backup 保留被覆盖的旧版本，--delete 保持目标与源一致
0 2 * * * root rsync -a --backup --delete /var/log/ /mnt/backup/logs/

# 可选：对关键文件做校验（示例对 syslog 做 sha256 并记录）
0 3 * * * root sha256sum /var/log/syslog > /var/log/syslog.sha256 && \
              rsync -a /var/log/syslog.sha256 /mnt/backup/logs/

• 脚本化打包归档：对指定日志做按日归档，便于长期留存与传输。

#!/usr/bin/env bash
LOG=/var/log/syslog
DST=/mnt/backup/logs
DATE=$(date +%F)
mkdir -p "$DST"
cp "$LOG" "$DST/syslog-${DATE}.log"
gzip "$DST/syslog-${DATE}.log"

• 远程集中化：在 rsyslog 中配置将日志转发到远程服务器（UDP/TCP 端口 514），实现集中存储与冗余。

# /etc/rsyslog.d/50-remote.conf
*.* @192.0.2.10:514    # UDP
*.* @@192.0.2.10:514   # TCP
# 防火墙放行
sudo ufw allow 514/tcp
sudo ufw allow 514/udp
sudo systemctl restart rsyslog

以上方案覆盖本地到远程的多种备份路径，并给出可落地的命令与最小配置示例。

四 保留周期与存储规划

• 保留策略建议：结合合规与容量，常见设置为 7–90 天；高频业务或安全审计要求高的环境可适当延长。示例对比： | 策略 | 触发条件 | 保留份数 | 适用场景 | |—|—|—|—| | 按周轮转 | weekly | 4 | 一般服务器，兼顾追溯与容量 | | 按大小轮转 | size 100M | 4 | 日志增长快、需控盘的场景 | | 按天轮转 | daily | 7 | 需要更细粒度审计与调试 |
• 容量估算方法：预估日增量为 D GB/天，压缩后约 C（0.2–0.5），保留 R 天，则所需空间近似为：D × C × R。例如 D=2GB、C=0.3、R=30，约需 18GB。建议预留 20–30% 余量，并启用监控告警。

五 验证与恢复

• 完整性校验：定期校验关键日志与校验文件（如 sha256sum），并抽样解压旧归档验证可读性。

sha256sum -c /mnt/backup/logs/syslog-2025-09-01.log.sha256
zcat /mnt/backup/logs/syslog-2025-09-01.log.gz | head

• 恢复演练：从备份位置将归档复制回 /var/log/（必要时先备份当前日志），并重启 rsyslog 使文件句柄恢复正常。

# 示例：恢复单文件
sudo cp /mnt/backup/logs/syslog-2025-09-01.log.gz /var/log/
sudo gunzip /var/log/syslog-2025-09-01.log.gz
sudo systemctl restart rsyslog

# 若需重建当前日志，可先备份再清空
sudo cp /var/log/syslog /var/log/syslog.bak
sudo truncate -s 0 /var/log/syslog
sudo systemctl restart rsyslog

• 自动化与监控：将校验与清理加入 cron，并对 磁盘使用率、备份失败 配置告警，确保策略长期稳定运行。