centos系统如何回收利用日志文件

CentOS 日志回收与清理实操指南

一核心思路与常用手段

二使用 logrotate 做自动轮转与回收

配置文件位置与生效方式
- 全局配置：/etc/logrotate.conf；应用配置：/etc/logrotate.d/。
- 调试与强制执行：例如对 Nginx 执行 logrotate -vf /etc/logrotate.d/nginx（-v 显示过程，-f 强制轮转）。
常用配置示例（按天轮转、保留 7 天、压缩、延迟压缩、空文件不轮转、自动重建）
- /var/log/myapp/*.log { daily rotate 7 compress delaycompress missingok notifempty create 0640 root adm sharedscripts postrotate /bin/kill -HUP cat /var/run/syslogd.pid 2>/dev/null 2>/dev/null || true endscript }
- 关键参数说明：
  - daily/weekly/monthly：按天/周/月轮转
  - rotate N：保留 N 份旧日志
  - compress/delaycompress：压缩旧日志（delaycompress 常用于让最新一份保持未压缩便于排查）
  - missingok/notifempty：文件缺失不报错/空文件不轮转
  - create：轮转后重建日志并设置权限/属主
  - sharedscripts/postrotate：所有匹配文件轮转后执行一次通知（如向 syslogd/rsyslog 发送 HUP 信号让其重新打开日志）
适用对象：系统日志（如 /var/log/messages、/var/log/secure）与各类应用日志（如 Nginx、MySQL 等），建议为关键业务单独配置精细化策略。

三清理 systemd journal 日志

查看占用
- 命令：journalctl --disk-usage
按时间或容量回收
- 保留最近 2 天：journalctl --vacuum-time=2d
- 最大保留 500MB：journalctl --vacuum-size=500M
持久化限制大小（编辑 /etc/systemd/journald.conf）
- 例如：SystemMaxUse=100M（可按需调整为 50M/200M 等）
- 使配置生效：systemctl restart systemd-journald
说明：journald 日志位于 /var/log/journal（持久化）及 /run/log/journal（运行时），清理前建议先评估保留周期与审计需求。

四快速释放空间的应急操作

清空单个正在写入的日志（保留文件与 inode，最安全）
- 命令：> /var/log/filename.log 或 truncate -s 0 /var/log/filename.log
- 示例：> /var/log/messages、truncate -s 0 /var/log/nginx/access.log
删除并重建（谨慎）
- 命令：rm -f /var/log/file.log && touch /var/log/file.log
- 风险：部分服务可能依赖文件存在与特定权限，重建后需确认服务能自动继续写入。
批量清理旧日志（示例）
- 删除 30 天前的 .log 文件：find /var/log -type f -name “*.log” -mtime +30 -exec rm -f {} ;
- 清空 >50MB 且 >7 天的 .log 文件：find /var/log -type f -name “*.log” -size +50M -mtime +7 -exec truncate -s 0 {} ;
建议：应急清理前先备份关键日志，清理后复核服务日志是否正常写入。

五巡检与长期治理建议

例行巡检
- 查看分区使用：df -lh
- 分析目录占用：du -sh /var/log/；可视化分析可用 ncdu /var/log
自动化与集中化
- 将自定义清理脚本加入 cron（如每日凌晨执行），或采用 Logstash/Fluentd/Graylog 做日志采集、归档与生命周期管理，减轻本机磁盘压力。
风险提示
- 清理前确认业务与审计要求，避免误删正在写入或短期内可能需要排查的日志；对关键系统日志优先“截断”而非“删除”。

最新问答