前言

日志就像程序的生命记录仪，详细记录下了程序运行的点点滴滴。

慎重的选择记录哪些日志：在茫茫日志海中寻找真正记录问题的日志，你是不想经历的；

精心的定时压缩转移日志：故障发生了，日志却丢了，此时的任何辩解都是苍白无力的。

记录哪些日志需要你在编写应用程序慎重决定，本文讲述如何使用Linux自带的logrotate程序来精心组织我们可爱的日志文件。

简介

日志，实际就是本文文件，且是个内容不断在增长的文件。处理通常就是按天或者按大小来备份、压缩或转储，非常简单。

/var/log/messages是大家熟悉的系统日志存放位置。如果该文件内容增长特别快，几天可能就撑满了整个硬盘，那么对该文件的备份、压缩或转储就显得尤为重要。

手动怎么处理呢？可能是：

编写日志处理脚本，脚本检测如果日志文件大小超过10M就拷贝一份日志并压缩转储，中间还需要清空原日志；

Crontab中把这个脚本作为定时任务，每天执行下。

Logrotate实际就是起着上述脚本作用的小工具，他通过让用户来配置规则的方式，检测和处理日志文件。配合Cron可让处理定时化；

Logrotate预制了大量判断条件和处理方式，可大大降低手写脚本的负担和出错的可能；

Logrorate检测日志文件属性，比对用户配置好的检测条件，对满足条件的再根据用户配置的要求来处理，整个可以通过Cron来定时调度，这其实是非常经典的Linux解决问题的思路，可以好好静下心来品味下，简单，好用。

组成

以下是logrotate运行的关键点：

/usr/bin/logrotate 程序所在位置；

/etc/cron.daily/logrotate 默认让Cron每天执行logrotate一次；

/etc/logrotate.conf 全局配置文件；

/etc/logrotate.d 应用自个的配置文件存放目录，覆盖全局配置；

全局配置文件/etc/logrotate.conf

# cat /etc/logrotate.conf

# see "man logrotate" for details

# rotate log files weekly

weekly

# keep 4 weeks worth of backlogs

rotate 4

# create new (empty) log files after rotating old ones

create

# use date as a suffix of the rotated file

# dateext

# uncomment this if you want your log files compressed

#compress

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d

# no packages own wtmp and btmp -- we'll rotate them here

/var/log/wtmp {

monthly

create 0664 root utmp

minsize 1M

rotate 1

}

/var/log/btmp {

missingok

monthly

create 0600 root utmp

rotate 1

}

# system-specific logs may be also be configured here.

查看全局配置文件cat /etc/logrotate.conf，可以发现#是行注释，配置项都是以关键字形式出现(那么想知道每个关键字的作用，最简单的就是直接man查看了)。

仔细看下每个关键字的注释，不难发现，比如：

weekly：表示每周处理下日志；

rotate4：最多保持4个轮转备份，关于轮转本身后文会详述，很有意思；

create：处理完该日志文件后，新生成一个日志文件，当然尽可能是同名同权限等；

dateext：默认未加时间戳；

compress：默认不压缩；

对wtmp和btmp日志做了单独处理，于是你意识到了单独的配置可以放在/etc/logrotate.d目录，或者直接放在全局配置里面。

于是当logrotate程序被执行时，按照字面意思logrotate默认是想每周处理下日志，对日志最多轮转保留4份，处理方式是不压缩也不加时间戳，处理完后再生成个同名文件。当然这些是默认设置，还对wtmp和btmp日志处理做了单独要求并且include /etc/logrotate.d目录下还有一大堆处理要求。该目录下配置文件，在logrotate被执行后，都会不一个个读取来执行。

自定义配置文件存放目录/etc/logrotate.d/

# ls /etc/logrotate.d/

cups debug dracut httpd iptraf mysqld ppp psacct sssd subscription-manager syslog tomcat6 up2date vsftpd wpa_supplicant yum

例如查看下sssd配置文件的内容：

# cat /etc/logrotate.d/sssd

/var/log/sssd/*.log {

weekly

missingok

notifempty

sharedscripts

rotate 2

compress

postrotate

/bin/kill -HUP `cat /var/run/sssd.pid 2>/dev/null` 2> /dev/null || true

endscript

}

可以发现基本格式与全局配置文件/etc/logrotate.conf一致，不难想象单独为某个日志配置的要求优先级肯定更高，如果与全局配置中出现相同项目的配置，单独的肯定覆盖全局的。

Cron执行 /etc/cron.daily/logrotate

配置文件都指定完毕，logrotate可单独执行了，当然也可以通过cron来定时执行；

# cat /etc/cron.daily/logrotate

#!/bin/sh

/usr/sbin/logrotate /etc/logrotate.conf >/dev/null 2>&1

EXITVALUE=$?

if [ $EXITVALUE != 0 ]; then

/usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"

fi

exit 0

默认的logrotate已经放在/etc/cron.daily/logrotate目录，很明显是让cron每天执行一次logrotate程序；

当然你也可以将该脚本放到其他时间，比如每分钟执行，甚至可以单独写crontab表达式来让logrotate指定配置文件和指定时间执行；

小结

至此，我们看过了logrotate的全局配置文件，单独配置文件，已经如何配合cront来定时执行。

为了加深记忆，我们先小结下：

logrotate是个程序，专门用来处理日志文件；

处理需要用户配置规则，比如指定超出10M则做什么动作；

规则可配置到独立的配置文件中，当然全局还有个全局默认配置文件，要知道每个配置文件都放在哪哦；

logrotate一被执行，就会搜索所有的配置文件按要求处理日志；

可以配合cron让logrotate定时执行；

测试

man过logrotate的同学大概知道logrotate该怎么用了，常见的选项使用如下：

# 1. 调试 (d = debug)参数为配置文件，不指定则执行全局配置文件

logrotate -d /etc/logrotate.d/test.conf

# 2. 强制执行(-f = force)，可以配合-v(-v =verbose)使用，注意调试信息默认携带-v；

logrotate -v -f /etc/logrotate.d/test.conf

本例通过自定义配置文件来压缩指定日志文件来测试logrotate的使用。

注意logrotate都是需要使用root来执行的，(但是可以通过配置项来指定生成的日志文件为普通用户的)。

# 1. 生成一个日志文件

man ps > test.log

ll -h test.log

-rw-r--r-- 1 root root 54K Sep 6 11:36 test.log

# 2. 编写对该日志文件如何处理的logrotate配置文件

cat /etc/logrotate.d/test.conf

/var/log/test.log {

compress

rotate 4

size 30k

create 0600 root root

}

# 3. 调试是否可以按照配置文件要求生成压缩文件

logrotate -d /etc/logrotate.d/test.conf

reading config file /etc/logrotate.d/test.conf

reading config info for /var/log/test.log

Handling 1 logs

rotating pattern: /var/log/test.log 30720 bytes (4 rotations)

empty log files are rotated, old logs are removed

considering log /var/log/test.log

log needs rotating

rotating log /var/log/test.log, log->rotateCount is 4

dateext suffix '-20150906'

glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'

renaming /var/log/test.log.4.gz to /var/log/test.log.5.gz (rotatecount 4, logstart 1, i 4),

renaming /var/log/test.log.3.gz to /var/log/test.log.4.gz (rotatecount 4, logstart 1, i 3),

renaming /var/log/test.log.2.gz to /var/log/test.log.3.gz (rotatecount 4, logstart 1, i 2),

renaming /var/log/test.log.1.gz to /var/log/test.log.2.gz (rotatecount 4, logstart 1, i 1),

renaming /var/log/test.log.0.gz to /var/log/test.log.1.gz (rotatecount 4, logstart 1, i 0),

renaming /var/log/test.log to /var/log/test.log.1

creating new /var/log/test.log mode = 0600 uid = 0 gid = 0

compressing log with: /bin/gzip

removing old log /var/log/test.log.5.gz

error: error opening /var/log/test.log.5.gz: No such file or directory

# 4. 调试结果正常，实际测试下

logrotate -f /etc/logrotate.d/test.conf

ll -h test.log*

-rw------- 1 root root 0 Sep 6 11:44 test.log

-rw-r--r-- 1 root root 14K Sep 6 11:44 test.log.1.gz

测试正常；

以上logrotate -f /etc/logrotate.d/test.conf指令完全可以写入crontab中，按照要求时间来执行，此处暂时不拆开讲了。

轮转

我们从上述debug信息中，摘录轮转部分的日志来理解下，什么叫轮转。

rotating log /var/log/test.log, log->rotateCount is 4

renaming /var/log/test.log.4.gz to /var/log/test.log.5.gz (rotatecount 4, logstart 1, i 4),

renaming /var/log/test.log.3.gz to /var/log/test.log.4.gz (rotatecount 4, logstart 1, i 3),

renaming /var/log/test.log.2.gz to /var/log/test.log.3.gz (rotatecount 4, logstart 1, i 2),

renaming /var/log/test.log.1.gz to /var/log/test.log.2.gz (rotatecount 4, logstart 1, i 1),

renaming /var/log/test.log.0.gz to /var/log/test.log.1.gz (rotatecount 4, logstart 1, i 0),

renaming /var/log/test.log to /var/log/test.log.1

emoving old log /var/log/test.log.5.gz

error: error opening /var/log/test.log.5.gz: No such file or directory

根据配置文件要求，轮转4份；

以伪代码在简写上述日志为：

rotateCount=4

mv 4 5

mv 3 4

mv 2 3

mv 1 2

rm 5

这就很容易理解了，所谓轮转，就是类似二级制向右位移一样不断的重命名；

例子

在弄清楚logrotate的运作机制，又实地测试一番后，以下将通过多个例子方式来让大家快速配置。

清空但不删除日志文件

copytruncate的作用在于先复制一份当前日志文件用做处理，再清空源日志文件，让其继续接收日志。

当然在复制和清空的空隙可能会有若干

$ cat logrotate.conf

/tmp/output.log {

size 1k

copytruncate

create 700 bala bala

rotate 4

compress

}

摘自参考3；

日志处理完执行自定义脚本

postrotate和endscript中间可以编写自定义脚本，用来对日志或者其他其定义处理，扩展性非常强；

例如由于logrotate对压缩日志可指定的时间戳只能到天，于是可以再自定义脚本里面对文件做时分等细化命名；

$ cat logrotate.conf

/tmp/output.log {

size 1k

copytruncate

rotate 4

compress

postrotate

/home/bala/myscript.sh

endscript

}

摘自参考3；

更改压缩程序

默认压缩程序使用.gz，当然可以自定义，需要制定压缩程序和后缀名；

$ cat logrotate.conf

/tmp/output.log {

size 1k

copytruncate

create

compress

compresscmd /bin/bzip2

compressext .bz2

rotate 4

}

参考