logrotate日志管理工具
一.概述
logrotate是一个Linux系统默认安装了的日志文件管理工具,用来把旧文件轮转、压缩、删除,并且创建新的日志文件。我们可以根据日志文件的大小、天数等来转储,便于对日志文件管理。
logrotate是基于crond服务来运行的,其crond服务的脚本是/etc/cron.daily/logrotate,日志转储是系统自动完成的。实际运行时,logrotate会调用配置文件 /etc/logrotate.conf,可以在 /etc/logrotate.d 目录里放置自定义好的配置文件,用来覆盖logrotate的缺省值。
二.配置文件详解
/etc/logrotate.conf 是主配置文件
/etc/logrotate.d 是一个目录,该目录下的所有文件都会被主动的读到 /etc/logrotate.conf 中执行
配置项说明:
配置项 | 说明 |
---|---|
compress | 通过 gzip 压缩转储旧的日志 |
nocompress | 不需要压缩时,用这个参数 |
copytruncate | 用于还在打开中的日志文件,把当前日志备份并截断,是先拷贝再清空的方式,拷贝和清空之间有一个时间差,可能会丢失部分日志数据 |
nocopytruncate | 备份日志文件但是不截断 |
create mode owner group | 使用指定的文件模式创建新的日志文件,如:create 0664 root utmp |
nocreate | 不建立新的日志文件 |
delaycompress | 和 compress 一起使用时,转储的日志文件到下一次转储时才压缩 |
nodelaycompress | 覆盖 delaycompress 选项,转储同时压缩 |
missingok | 在日志转储期间,任何错误将被忽略 |
errors address | 转储时的错误信息发送到指定的 Email 地址 |
ifempty | 即使日志文件是空文件也转储,这个是 logrotate 的缺省选项 |
notifempty | 如果日志文件是空文件的话,不转储 |
mail E-mail | 把转储的日志文件发送到指定的 E-mail 地址 |
nomail | 转储时不发送日志文件到 E-mail 地址 |
olddir directory | 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统 |
noolddir | 转储后的日志文件和当前日志文件放在同一个目录下 |
prerotate/endscript | 在转储之前需要执行的命令可以放入这个对中,这两个关键字必须单独成行 |
postrotate/endscript | 在转储之后需要执行的命令可以放入这个对中,这两个关键字必须单独成行 |
sharedscripts | 所有的日志文件都转储完毕后统一执行一次脚本 |
daily | 指定转储周期为每天 |
weekly | 指定转储周期为每周 |
monthly | 指定转储周期为每月 |
rotate count | 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5个备份 |
size(minsize) logsize | 当日志文件到达指定的大小时才转储,size 可以指定单位为k或M,如:size 500k,size 100M |
dateext | 指定转储后的日志文件以当前日期为格式结尾,如 |
dateformat dateformat | 配合dateext使用,紧跟在下一行出现,定义日期格式,只支持%Y %m %d %s这4个参数,如:dateformat -%Y%m%d%s |
三.实战案例
1.nginx
cat > /etc/logrotate.d/nginx << eof
/usr/local/nginx/logs/*log {
daily
# 每天转储
rotate 30
# 保存30个备份
missingok
# 在日志转储期间,任何错误将被忽略
notifempty
# 文件为空时不转储
compress
# 通过 gzip 压缩
dateext
# 日志文件以当前日期为格式结尾
sharedscripts
# 所有日志文件转储完毕后执行一次脚本
postrotate
# 转储之后执行命令,和endscript成对使用
/bin/kill -USR1 \$(cat /usr/local/nginx/logs/nginx.pid 2>/dev/null) 2>/dev/null || :
endscript
# 转储之后执行命令,和postrotate成对使用
}
eof
2.rsyslog
cat > /etc/logrotate.d/syslog << eof
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
sharedscripts
dateext
rotate 25
size 40M
compress
dateformat -%Y%m%d%s
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
eof
3.redis
cat > /etc/logrotate.d/redis << eof
/var/log/redis/*.log {
weekly
rotate 10
copytruncate
delaycompress
compress
notifempty
missingok
}
eof
4.supervisor
cat > /etc/logrotate.d/supervisor << eof
/var/log/supervisor/*.log {
missingok
weekly
notifempty
nocompress
}
eof
5.yum
cat > /etc/logrotate.d/yum << eof
/var/log/yum.log {
missingok
notifempty
yearly
create 0600 root root
}
eof
6.httpd
cat > /etc/logrotate.d/httpd << eof
/var/log/httpd/*log {
missingok
notifempty
sharedscripts
postrotate
/sbin/service httpd reload > /dev/null 2>/dev/null || true
endscript
}
eof
7.salt
cat > /etc/logrotate.d/salt << eof
/var/log/salt/master {
weekly
missingok
rotate 5
compress
notifempty
}
/var/log/salt/minion {
weekly
missingok
rotate 5
compress
notifempty
}
/var/log/salt/key {
weekly
missingok
rotate 5
compress
notifempty
}
/var/log/salt/cloud {
weekly
missingok
rotate 5
compress
notifempty
}
/var/log/salt/ssh {
weekly
missingok
rotate 5
compress
notifempty
}
eof
四.命令参数说明
使用 man logrotate 或者 logrotate --help 来查看相关命令参数
logrotate --help
Usage: logrotate [OPTION...] <configfile>
-d, --debug 调试模式,输出调试结果,并不执行。隐式-v参数
-f, --force 强制转储文件
-m, --mail=command 发送邮件命令而不是用‘/bin/mail'发
-s, --state=statefile 状态文件,对于运行在不同用户情况下有用
-v, --verbose 显示转储过程的详细信息
如果等不及cron自动执行日志转储,可以强制转储文件(-f 参数) ,正式执行前最好使用调试模式(-d 参数)
/usr/sbin/logrotate -f /etc/logrotate.d/nginx
/usr/sbin/logrotate -d -f /etc/logrotate.d/nginx
五.自定义日志转储时间
现在需要将日志转储(切割)时间调整到每天的0点,即每天切割的日志是前一天的0点-23点59分59秒之间的内容。
1.日志转储流程
首先说一下基于crond服务,logrotate转储日志的流程:
crond服务加载/etc/cron.d/0hourly
--->在每小时的01分执行/etc/cron.hourly/0anacron
--->执行anacron
--->根据/etc/anacrontab的配置执行/etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly
--->执行/etc/cron.daily/下的logrotate脚本
--->执行logrotate
--->根据/etc/logrotate.conf配置执行脚本/etc/logrotate.d/nginx
--->转储nginx日志成功
重点看一下 /etc/anacrontab
# /etc/anacrontab: configuration file for anacron
# See anacron(8) and anacrontab(5) for details.
SHELL=/bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
# the maximal random delay added to the base delay of the jobs
RANDOM_DELAY=45 # 随机的延迟时间,表示最大45分钟
# the jobs will be started during the following hours only
START_HOURS_RANGE=3-22 # 在3点-22点之间开始
#period in days delay in minutes job-identifier command
1 5 cron.daily nice run-parts /etc/cron.daily
7 25 cron.weekly nice run-parts /etc/cron.weekly
@monthly 45 cron.monthly nice run-parts /etc/cron.monthly
# period in days 是表示1天、7天、1个月执行一次
# delay in minutes 是延迟的分钟数
# nice设置优先级为10,范围为-20(最高优先级)到19(最低优先级)
# run-parts 是一个脚本,表示会执行它后面目录里的脚本
分析可以得出,如果机器没有关机,默认的logrotate(配置文件里设置的是daily)一般会在每天的3点05分到3点45分之间执行。
2.定义每天00点00分转储nginx日志
方法一
通过上面的分析,调整如下:
调整 /etc/anacrontab 配置文件,将 RANDOM_DELAY=0 , START_HOURS_RANGE=0-22 , delay in minutes 改为0。
调整 /etc/cron.d/0hourly 配置文件,将01改为00(/etc/cron.daily那一行)。
这样logrotate就可以在每天00点00分转储日志(配置文件里设置的是daily)
方法二
上面的方法会影响到 /etc/cron.daily,/etc/cron.weekly,/etc/cron.monthly 下所有脚本的自动执行时间,影响范围有点大,如果我们仅仅需要nginx的日志转储在每天00点执行怎么办?
我们可以创建一个文件夹,如 /etc/logrotate.daily.0/ ,放置每天0点需要执行的转储日志配置,然后设置计划任务,每天00点00分 logrotate -f 强制执行。具体操作如下:
mkdir -p /etc/logrotate.daily.0/
mv /etc/logrotate.d/nginx /etc/logrotate.daily.0/ # 具体配置内容参照上文
crontab -e
#nginx log logrotate
00 00 * * * /usr/sbin/logrotate -f /etc/logrotate.daily.0/nginx >/dev/null 2>&1
注意:/etc/logrotate.d/目录下相应的配置文件要删掉,否则每天会自动执行两次。