CentOS Syslog磁盘空间优化实操
一 快速定位占用来源
- 查看整体磁盘使用:执行命令:df -h,确认是否因**/var/log**或根分区占满。
- 定位大目录:执行命令:du -sh /var/log/ | sort -hr | head*,快速找出占用最大的日志目录或文件。
- 如占用来自 systemd 日志,查看用量:journalctl --disk-usage;如来自传统 syslog,重点检查:/var/log/messages、/var/log/secure、/var/log/maillog 等。
以上步骤可快速判断是 journald 还是 rsyslog 导致的空间问题,从而决定后续优化方向。
二 优化 systemd journal 日志
- 设置持久化存储上限(推荐):编辑 /etc/systemd/journald.conf,设置如:SystemMaxUse=500M(或更小),保存后重启服务:systemctl restart systemd-journald。该方式能从源头限制 journal 占用。
- 清理历史日志:
- 按时间保留:journalctl --vacuum-time=3d(仅保留最近 3 天)。
- 按容量保留:journalctl --vacuum-size=500M(仅保留最多 500MB)。
- 手动清理前的安全操作:为避免文件句柄占用导致删除无效,先执行:journalctl --rotate,再进行清理。
- 验证与完整性检查:journalctl --verify。
以上做法能在不中断服务的前提下,迅速回收 /var/log/journal 空间。
三 优化 rsyslog 与 logrotate 策略
- 典型 rsyslog 轮转配置(示例为 /var/log/messages):编辑 /etc/logrotate.d/syslog 或相应文件,加入:
- 示例:
/var/log/messages {
daily
rotate 7
compress
delaycompress
missingok
notifempty
create 0640 root adm
}
- 关键参数说明:
- daily:按天轮转;也可改为 size 100M 实现按大小触发。
- rotate 7:保留最近 7 份历史。
- compress / delaycompress:压缩旧日志,延迟到下次轮转再压缩,便于快速回收空间。
- missingok / notifempty:文件缺失不报错;空文件不轮转。
- create 0640 root adm:轮转后重建文件并设定权限与属主。
- 立即生效与验证:
- 手动触发一次轮转:logrotate -f /etc/logrotate.d/syslog。
- 确认定时任务存在:ls /etc/cron.daily/logrotate(默认每日执行)。
- 可选:按大小触发更激进的回收(避免单文件过大):在对应日志段加入 size 100M。
以上配置可显著减少 /var/log 下传统文本日志的堆积与膨胀。
四 日志分流与降噪
- 按程序名分流,减少 /var/log/messages 的压力:在 /etc/rsyslog.conf 或 /etc/rsyslog.d/ 下添加规则,例如:
- if $programname == ‘cron’ then /var/log/cron.log
- if $programname == ‘authpriv’ then /var/log/authpriv.log
- if $programname == ‘kern’ then /var/log/kern.log
- & stop
- 降噪示例:若 Kubernetes 场景下 /var/log/messages 被大量无关信息刷屏,可临时将 messages 记录关闭:*.none /var/log/messages(修改前务必评估对排障的影响)。
分流后,可按不同保留策略分别管理各类日志,提升可维护性与空间利用率。
五 集中化与长期治理
- 远程日志:将本地日志通过 rsyslog 的 TCP/UDP 发送到集中式日志服务器,显著降低本机磁盘压力。
- 集中式存储与分析:引入 ELK Stack(Elasticsearch、Logstash、Kibana) 或 Graylog,统一存储、检索与告警。
- 监控与告警:设置磁盘阈值告警(如超过 85% 发送邮件),并定期巡检 /var/log 增长趋势。
- 安全与合规:集中化同时做好传输加密与访问控制,避免安全事件扩大化。
上述措施适合多机或生产环境,从架构层面解决日志长期增长带来的存储瓶颈。
