Linux学习-68-日志转储logrotate命令(logrotate配置文件)_logrotate dateext

15.6 日志轮替（日志转储）及logrotate配置文件分析

• 日志是重要的系统文件，记录和保存了系统中所有的重要事件。但是日志文件也需要进行定期的维护，因为日志文件是不断增长的，如果完全不进行日志维护，而任由其随意递增，那么用不了多久，我们的硬盘就会被写满。**日志维护的最主要的工作就是把旧的日志文件删除，从而腾出空间保存新的日志文件。**这项工作如果靠管理员手工来完成，那其实是非常烦琐的，而且也容易忘记。

• logrotate 用来进行日志轮替（也叫日志转储）的，也就是把旧的日志文件移动并改名，同时创建一个新的空日志文件用来记录新日志，当旧日志文件超出保存的范围时就删除。

• 日志文件的命名规则：日志轮替最主要的作用就是把旧的日志文件移动并改名，同时建立新的空日志文件，当旧日志文件超出保存的范围时就删除。旧的日志文件移动后依靠 /etc/logrotate.conf 配置文件中的“dateext”参数来命名。如果配置文件中有“dateext”参数，那么日志会用日期来作为日志文件的后缀，如“secure-20130605”。这样日志文件名不会重叠，也就不需要对日志文件进行改名，只需要保存指定的日志个数，删除多余的日志文件即可。如果配置文件中没有“dateext”参数，那么日志文件就需要进行改名了。当第一次进行日志轮替时，当前的“secure”日志会自动改名为“secure.1”，然后新建“secure”日志，用来保存新的日志；当第二次进行日志轮替时，“secure.1”会自动改名为“secure.2”，当前的“secure”日志会自动改名为“secure.1”，然后也会新建“secure”日志，用来保存新的日志；以此类推。

• 查看一下 logrotate 的配置文件 /etc/logrotate.conf 的默认内容。

[root@CncLucZK httpd]# cat /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly
weekly									#每周对日志文件进行一次轮替

# keep 4 weeks worth of backlogs
rotate 4								#保存4个日志文件,也就是说,如果进行了5次日志轮替，就会删除第一个备份日志

# create new (empty) log files after rotating old ones
create									#在日志轮替时,自动创建新的日志文件

# use date as a suffix of the rotated file
dateext									#使用日期作为日志轮替文件的后缀

# uncomment this if you want your log files compressed
#compress								#日志文件是否压缩。如果取消注释,则日志会在转储的同时进行压缩
										#以上日志配置为默认配置,如果需要轮替的日志没有设定独立的参数,那么都会遵循以上参数
										#如果轮替曰志配置了独立参数,那么独立参数的优先级更高

# RPM packages drop log rotation information into this directory
include /etc/logrotate.d				#包含/etc/logrotate.d/目录中所有的子配置文件。也就是说,会把这个目录中所有的子配置文件读取进来，进行日志轮替
	
# system-specific logs may be also be configured here.
#以下两个轮替曰志有自己的独立参数，如果和默认的参数冲突，则独立参数生效
/var/log/wtmp {
#以下参数仅对此目录有效
monthly
#每月对日志文件进行一次轮替
create 0664 root utmp
#建立的新日志文件,权限是0664,所有者是root,所属组是utmp组
minsize 1M
#日志文件最小轮替大小是1MB。也就是日志一定要超过1MB才会轮替，否则就算时间达到一个月，也不进行曰志轮替
rotate 1
#仅保留一个日志备份。也就是只保留wtmp和wtmp.1曰志)
/var/log/btmp {
#以下参数只对/var/log/btmp生效
missingok
#如果日志不存在,则忽略该日志的警告信患
monthly
create 0600 root utmp
rotate 1
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

• 在这个配置文件中，主要分为三部分：

  • 第一部分是默认设置，如果需要转储的日志文件没有特殊配置，则遵循默认设置的参数；
  • 第二部分是读取 /etc/logrotate.d/ 目录中的日志轮替的子配置文件，也就是说，在 /etc/logrotate.d/ 目录中的所有符合语法规则的子配置文件也会进行日志轮替；
  • 第三部分是对 wtmp 和 btmp 日志文件的轮替进行设定，如果此设定和默认参数冲突，则当前设定生效（如 wtmp 的当前参数设定的轮替时间是每月，而默认参数的轮替时间是每周，则对 wtmp 这个日志文件来说，轮替时间是每月，当前的设定参数生效）。

• logrotate 配置文件的主要参数：

• 较为难理解的应该是 prerotate/endscript 和 postrotate/endscript，我们利用“man logrotate”中的例子来解释一下这两个参数。例如：

[root@CncLucZK httpd]# cat /etc/logrotate.d/httpd
/var/log/httpd/*log {
    missingok		  #如果日志不存在，则忽略该日志的警告信息
    notifempty		  #如果曰志为空文件，則不进行日志轮替
    sharedscripts	  #以下脚本只执行一次
    delaycompress
    postrotate		  #在日志轮替结束之后,执行以下脚本
        /bin/systemctl reload httpd.service > /dev/null 2>/dev/null || true	 #重启apache 服务
    endscript		  #脚本结束
}

1
2
3
4
5
6
7
8
9
10
11

prerotate 和 postrotate 主要用于在日志轮替的同时执行指定的脚本，一般用于日志轮替之后重启服务。这里强调一下，如果你的日志是写入 rsyslog 服务的配置文件的，那么把新日志加入 logrotate 后，一定要重启 rsyslog 服务，否则你会发现，虽然新日志建立了，但数据还是写入了旧的日志当中。那是因为虽然 logrotate 知道日志轮替了，但是 rsyslog 服务并不知道。

• 同理，如果采用源码包安装了 apache、Nginx 等服务，则需要重启 apache 或 Nginx 服务，同时还要重启 rsyslog 服务，否则日志也不能正常轮替。

• 不过，这里有一个典型应用就是给予特定的日志加入 chattr 的 a 属性。如果系统文件加入了 a 属性，那么这个文件就只能增加数据，而不能删除和修改已有的数据，root 用户也不例外。因此，我们会给重要的日志文件加入 a 属性，这样就可以保护日志文件不被恶意修改。不过，一旦加入了 a 属性，那么在进行日志轮替时，这个日志文件是不能被改名的，当然也就不能进行日志轮替了。我们可以利用 prerotate 和 postrotate 参数来修改日志文件的 chattr 的 a 属性。

• 把自己的日志加入日志轮替:如果有些日志默认没有加入日志轮替（比如源码包安装的服务的日志，或者自己添加的日志），那么这些日志默认是不会进行日志轮替的，这样当然不符合我们对日志的管理要求。如果需要把这些日志也加入日志轮替

• 这里有两种方法：

  • 第一种方法是直接在 /etc/logrotate.conf 配置文件中写入该日志的轮替策略，从而把日志加入轮替；
  • 第二种方法是在 /etc/logrotate.d/ 目录中新建立该日志的轮替文件，在该轮替文件中写入正确的轮替策略，因为该目录中的文件都会被包含到主配置文件中，所以也可以把日志加入轮替。

• 推荐第二种方法，因为系统中需要轮替的日志非常多，如果全部直接写入 /etc/logrotate.conf 配置文件，那么这个文件的可管理性就会非常差，不利于此文件的维护。

• 举个例子。利用生成的 /var/log/alert.log 日志，这个日志不是系统默认日志，而是我们通过 /etc/rsyslog.conf 配置文件自己生成的日志，所以默认这个日志是不会进行轮替的。如果我们需要把这个日志加入日志轮替策略，那该怎么实现呢？我们采用第二种方法，也就是在 /etc/logrotate.d/ 目录中建立此日志的轮替文件。

[root@CncLucZK ~]# chattr +a /var/log/alert.log #先给日志文件赋予chattr的a属性，保证日志的安全
[root@CncLucZK ~]# vi /etc/logrotate.d/alter
#创建alter轮替文件,把/var/log/alert.log加入轮替
/var/log/alert.log {
    weekly
    #每周轮替一次
    rotate 6
    #保留6个轮替曰志
    sharedscripts
    #以下命令只执行一次
    prerotate
    #在日志轮替之前执行
        /usr/bin/chattr -a /var/log/alert.log
        #在日志轮替之前取消a属性,以便让日志可以轮替
    endscript
    #脚本结朿
    sharedscripts
    postrotate
    #在日志轮替之后执行
        /usr/bin/chattr +a /var/log/alert.log
        #在日志轮替之后,重新加入a属性
    endscript
    sharedscripts
    postrotate
    /bin/kill -HUP $(/bin/cat /var/run/syslogd.pid 2>/dev/null) fi>/dev/null
    endscript
    #重启rsyslog服务，保证日志轮替正常进行
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

• 这样我们自己生成的日志 /var/log/alert.log 也就可以进行日志轮替了，当然这些配置信息也是可以直接写入 /etc/logrotate.conf 这个配置文件的。

15.7 logrotate命令用法详解：进行日志转储（轮替）

• 日志轮替之所以可以在指定的时间备份日志，是因为其依赖系统定时任务。如果大家还记得 /etc/cron.daily/ 目录，就会发现这个目录中是有 logrotate 文件的，查看一下这个文件，命令如下：

[root@CncLucZK httpd]# cat /etc/cron*/logrotate
#!/bin/sh

/usr/sbin/logrotate /etc/logrotate.conf			#执行了logrotate命令
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
    /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi
exit $EXITVALU
1
2
3
4
5
6
7
8
9

• 系统每天都会执行 /etc/cron.daily/logrotate 文件，运行这个文件中的“/usr/sbin/logrotate /etc/logrotate.conf命令。logrotate 命令会依据 /etc/logrotate.conf 配置文件的配置，来判断配置文件中的日志是否符合日志轮替的条件（比如，日志备份时间已经满一周），如果符合，日志就会进行轮替。所以说，日志轮替还是由 crond 服务发起的。logrotate 命令的格式

[root@localhost ~]# logrotate [选项] 配置文件名
1

• 选项：
  • 如果此命令没有选项，则会按照配置文件中的条件进行日志轮替
  • -v：显示日志轮替过程。加入了-v选项，会显示日志的轮替过程
  • -f： 强制进行日志轮替。不管日志轮替的条件是否符合，强制配置文件中所有的日志进行轮替

[root@CncLucZK httpd]# logrotate /etc/logrotate.conf
#查看日志轮替的流程
…省略部分输出…
rotating pattern：/var/log/alert.log weekly (6 rotations)
#这就是之前加入轮替的alert.log日志
empty log files are rotated， old logs are removed
considering log /var/log/alert.log
log does not need rotating
#时间不够一周，所以不进行日志轮替
…省略部分输出…
1
2
3
4
5
6
7
8
9
10

• /var/log/alert.log 加入了日志轮替，已经被 logrotate 识别并调用了，只是时间没有达到轮替的标准，所以没有进行轮替。那我们强制进行一次日志轮替，看看会有什么结果。

[root@CncLucZK httpd]# logrotate -vf /etc/logrotate.conf
#强制进行日志轮替，不管是否符合轮替条件
…省略部分输出…
rotating pattern：/var/log/alert.log forced from command line (6 rotations)
empty log files are rotated， old logs are removed
considering log /var/log/alert.log
log needs rotating
#日志需要轮替
rotating log /var/log/alert.log，log->rotateCount is 6
dateext suffix '-202210024'
#提取日期参数
glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'
glob finding old rotated logs failed
running prerotate script
fscreate context set to unconfined_u：object_r：var_log_t：s0
renaming /var/log/alert.log to /var/log/alert.log-202210024
#旧的日志被重命名
creating new /var/log/alert.log mode = 0600 uid = 0 gid = 0
#创建新日志文件，同时指定权限、所有者和属组
running postrotate script
…省略部分输出…
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

• alert.log 日志已经完成了日志轮替。查看一下新生成的日志和旧日志，如下：

[root@CncLucZK ~]# ll /var/log/alert.log*
-rw-------.1 root root 0 6月 7 10：07 /var/log/alert.log
-rw-------.1 root root 237 6月 7 09：58 /var/log/alert.log-20130607
#旧的日志文件已经轮替
[root@CncLucZK ~]# lsattr /var/log/alert.log
-----a-------e- /var/log/alert.log
#新的日志文件被自动加入了chattr的a属性
1
2
3
4
5
6
7

• logrotate 命令在使用“-f”选项之后，就会不管日志是否符合轮替条件，而强制把所有的日志都进行轮替。

参考文献:
Linux日志轮替（日志转储）及logrotate配置文件分析

下一篇：Linux学习-69-Linux系统启动管理