在Linux系统中，日志文件是诊断问题、监控系统状态和进行安全审计的宝贵资源。然而，这些日志文件会随着时间的推移不断增长，如果不加以管理，它们可能会耗尽磁盘空间，导致系统性能下降甚至服务中断。日志轮转 (Log Rotation) 正是解决这一问题的关键机制。

什么是日志轮转？

日志轮转是一种自动化的过程，用于管理日志文件的大小和数量。它会定期地将当前的活动日志文件“轮转”出去——通常是重命名并归档，然后创建一个新的空日志文件供系统继续写入。旧的、归档的日志文件可以被压缩以节省空间，并在达到一定数量或存在时间后被自动删除。

这个过程确保了：

• 磁盘空间不会被无限增长的日志文件耗尽。
• 可以保留一定时期的历史日志以供分析和审计。
• 日志文件的管理是自动化的，减轻了系统管理员的负担。

logrotate：Linux日志轮转的瑞士军刀 🛠️

在大多数Linux发行版中，日志轮转功能是由 logrotate 这个强大的实用程序来实现的。logrotate 非常灵活，可以根据多种条件（如文件大小、时间周期）来轮转日志，并且可以执行自定义的脚本。

logrotate 的工作方式：

1. 配置文件:

• 主配置文件: /etc/logrotate.conf。这个文件包含了全局的默认设置，会应用于所有未被特别指定的日志文件。
• 特定配置文件目录: /etc/logrotate.d/。这个目录通常包含了针对特定应用程序或服务（如Apache, Nginx, rsyslog, MySQL等）的单独配置文件。当安装这些服务时，它们通常会在这里放置自己的轮转规则。这种模块化方式使得管理更加便捷。

• logrotate 通常通过一个定时任务（如cron job或systemd timer）来定期执行，在大多数系统中默认为每天执行一次。

• 将当前的日志文件重命名（例如，access.log 变成 access.log.1）。
• 创建一个新的、空的同名日志文件（例如，新的 access.log）。
• 通知相关服务使用新的日志文件（通常通过发送信号）。
• 如果配置了压缩，旧的日志文件（如 access.log.1）可能会在当前或下一次轮转时被压缩（例如，变成 access.log.1.gz）。
• 如果配置了保留数量，当归档的日志文件数量超过设定值时，最旧的日志文件会被删除。

• 当 logrotate 运行时，它会检查其配置文件中定义的规则。
• 对于满足轮转条件的日志文件，logrotate 会执行以下操作（具体取决于配置）：

常见的 logrotate 配置指令

以下是一些在 logrotate 配置文件中常见的指令及其含义：

• 轮转周期:

• daily: 每天轮转。
• weekly: 每周轮转。
• monthly: 每月轮转。
• yearly: 每年轮转。

• 文件大小触发:

• size <大小>: 当日志文件达到指定大小时轮转，例如 size 100M (100MB), size 1G (1GB)。

• 保留的日志数量:

• rotate <数量>: 保留指定数量的旧日志文件。例如，rotate 7 表示保留7个归档文件。

• 创建新日志:

• create [<mode> <owner> <group>]: 轮转后创建新的空日志文件，并可以指定其权限模式、所有者和用户组。
• copytruncate: 复制当前的日志文件内容到一个新的归档文件，然后截断（清空）原始日志文件。这种方式不需要通知服务重新打开日志文件，但可能在复制和截断之间丢失少量日志。

• 压缩:

• compress: 压缩轮转后的日志文件（通常使用gzip）。
• delaycompress: 与 compress 配合使用，表示将上一次轮转的日志文件推迟到下一次轮转时再压缩。这使得最近的归档日志保持未压缩状态，方便查看。
• nocompress: 不压缩。

• 处理空文件:

• notifempty: 如果日志文件为空，则不进行轮转。
• ifempty: 即使日志文件为空也进行轮转（默认行为）。

• 错误处理:

• missingok: 如果日志文件不存在，不报错并继续。

• 脚本执行:

• prerotate/endscript: 在日志文件轮转之前执行的脚本。
• postrotate/endscript: 在日志文件轮转之后执行的脚本（例如，通知服务重新加载日志文件）。
• sharedscripts: 如果配置了多个日志文件，prerotate 和 postrotate 脚本只执行一次，而不是为每个文件执行。

• 包含其他配置:

• include /etc/logrotate.d: 引入指定目录下的所有配置文件。

示例配置 (/etc/logrotate.d/myapp)

/var/log/myapp/access.log
/var/log/myapp/error.log
{
daily
rotate 14
size 50M
compress
delaycompress
missingok
notifempty
create 0640 myapp_user myapp_group
sharedscripts
postrotate
# 向myapp服务发送信号以重新打开日志文件
systemctl kill -s HUP myapp.service > /dev/null 2>&1 || true
endscript
}

这个例子为 /var/log/myapp/ 目录下的 access.log 和 error.log 设置了轮转规则：每天检查，如果文件大小超过50MB则轮转，保留14个归档，进行压缩（延迟压缩最近一个），并在轮转后以特定权限创建新文件，并通知 myapp.service 服务。

为什么日志轮转很重要？💡

• 防止磁盘空间耗尽: 这是最直接和最重要的原因。
• 提高系统性能: 过大的日志文件会使得日志写入和查询变慢。
• 便于管理和分析: 将日志分割成较小的、按时间归档的文件，使得查找特定时间段的日志更加容易。
• 合规性要求: 许多行业法规要求日志保留一定期限，日志轮转和归档是满足这些要求的一部分。

结论 🏁

日志轮转是Linux系统管理中一个看似简单但至关重要的组成部分。通过 logrotate 工具及其灵活的配置选项，系统管理员可以有效地管理系统和应用程序产生的日志，确保系统的稳定运行，同时保留必要的历史记录以供分析和审计。理解并根据实际需求调整日志轮转策略，是每一位Linux系统管理员的基本功。