logrotate使用手册

一、logrotate简介

logrotate是Linux系统中用于管理日志文件的工具，通过自动轮转（rotate）、压缩和删除旧日志文件，有效控制日志占用空间。其核心功能包括：

• 日志轮转：按时间或文件大小分割日志
• 压缩存储：使用gzip等工具压缩旧日志
• 自动清理：删除超过指定保留天数的日志
• 通知机制：轮转后通知相关服务重新打开日志文件

典型应用场景包括：Nginx访问日志、系统日志（/var/log/messages）、应用自定义日志等。相较于手动清理，logrotate能更安全、高效地维护日志系统。

二、基础配置详解

1. 配置文件结构

logrotate通过配置文件定义轮转规则，主配置文件通常位于：

• /etc/logrotate.conf：全局默认配置
• /etc/logrotate.d/：应用专用配置目录

示例目录结构：

/etc/
├── logrotate.conf
└── logrotate.d/
    ├── nginx
    ├── mysql
    └── syslog

2. 核心指令解析

指令	作用	示例
daily	按天轮转	daily
weekly	按周轮转	weekly
monthly	按月轮转	monthly
size 100M	超过100MB时轮转	size 100M
rotate 5	保留5个旧日志	rotate 5
compress	启用压缩	compress
delaycompress	延迟压缩（下次轮转时压缩）	delaycompress
missingok	日志文件不存在时不报错	missingok
notifempty	空日志不轮转	notifempty
create 644 root root	创建新日志文件的权限和属主	create 644 root root
postrotate	轮转后执行的命令	postrotate /bin/kill -HUP syslogd

3. 基础配置示例

以Nginx日志为例，创建/etc/logrotate.d/nginx：

/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 640 www-data adm
    sharedscripts
    postrotate
        [ -s /run/nginx.pid ] && kill -USR1 `cat /run/nginx.pid`
    endscript
}

此配置表示：

• 每天轮转Nginx日志
• 保留14个压缩后的旧日志
• 轮转后通知Nginx重新打开日志文件

三、高级应用场景

1. 多日志文件处理

通过通配符匹配多个日志文件：

/var/log/myapp/*.log {
    weekly
    rotate 4
    compress
}

2. 自定义压缩选项

使用compresscmd和uncompresscmd指定压缩工具：

/var/log/special.log {
    monthly
    rotate 6
    compresscmd /usr/bin/xz
    uncompresscmd /usr/bin/unxz
    compressoptions -9
    compressext .xz
}

3. 日志轮转前后的脚本执行

prerotate和postrotate脚本示例：

/var/log/app.log {
    daily
    rotate 7
    prerotate
        /usr/bin/logger -t logrotate "Starting rotation of app.log"
    endscript
    postrotate
        /bin/systemctl reload app-service
    endscript
}

4. 共享脚本优化

使用sharedscripts避免重复执行脚本：

/var/log/mail/*.log {
    weekly
    rotate 4
    sharedscripts
    postrotate
        /etc/init.d/postfix reload >/dev/null
    endscript
}

四、故障排查与最佳实践

1. 常见问题解决

• 日志未轮转：检查权限（logrotate以root运行）、路径是否存在、条件是否满足
• 压缩失败：确认压缩工具已安装，检查compresscmd路径
• 服务未重新打开日志：检查postrotate脚本是否正确

2. 调试技巧

• 使用-d（debug）模式测试配置：

  logrotate -d /etc/logrotate.d/nginx

• 强制立即轮转：

  logrotate -vf /etc/logrotate.d/nginx

3. 最佳实践建议

1. 合理设置轮转周期：高流量服务建议按大小轮转（如size 100M），低流量服务可按天轮转
2. 保留足够旧日志：生产环境建议保留至少7天日志
3. 监控日志目录：通过监控工具（如Prometheus）跟踪日志目录大小
4. 定期审查配置：每季度检查logrotate配置是否仍符合需求
5. 文档化配置：为每个应用的logrotate配置添加注释说明

五、企业级应用案例

1. 微服务架构日志管理

在容器化环境中，可为每个服务创建独立的logrotate配置：

/var/log/containers/service-a*.log {
    size 50M
    rotate 10
    compress
    create 0640 root adm
    postrotate
        docker kill --signal=USR1 service-a-container
    endscript
}

2. 审计日志特殊处理

对安全审计日志采用更严格的保留策略：

/var/log/audit/audit.log {
    monthly
    rotate 12
    compress
    delaycompress
    missingok
    notifempty
    create 640 root root
}

3. 跨主机日志收集

结合rsyslog和logrotate管理集中式日志：

# 客户端配置（发送日志到服务器）
*.* @log-server:514
# 服务器端logrotate配置
/var/log/remote/*.log {
    daily
    rotate 7
    compress
    missingok
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}

六、性能优化建议

1. 压缩级别选择：

   • 高压缩率：compressoptions -9（xz工具）
   • 平衡选择：gzip默认级别（通常-6）

2. I/O优化：

   • 在低峰期执行轮转
   • 对大日志文件考虑先移动后压缩

3. 内存考虑：

   • 超大日志文件轮转时监控系统内存使用
   • 考虑使用copytruncate替代重命名（但可能丢失少量日志）

七、版本差异说明

不同Linux发行版的logrotate可能有细微差异：

• RHEL/CentOS：默认包含dateext选项（在扩展名中添加日期）
• Debian/Ubuntu：配置文件通常更详细，包含更多注释
• 最新版本：支持su指令指定运行用户（3.15.0+）

建议通过man logrotate查看系统文档获取版本特定信息。

八、总结与扩展

logrotate是Linux日志管理的核心工具，合理配置可显著降低磁盘空间管理成本。对于更复杂的日志管理需求，可考虑：

• 结合ELK（Elasticsearch+Logstash+Kibana）栈进行日志分析和可视化
• 使用Fluentd等日志收集器实现集中式日志管理
• 在云环境中利用对象存储归档历史日志

建议定期（每季度）审查日志轮转策略，确保其仍符合业务需求和合规要求。通过持续优化，可使日志管理系统既满足审计要求，又不会过度消耗存储资源。