Linux日志轮替

日志文件的命名规则
日志轮替最主要的作用就是把旧的日志文件移动并改名，同时建立新的空日志文件，当旧日志文件超出保存的范围之后，就会进行删除。那么旧的日志文件改名之后，如何命名呢？主要依靠/etc/logrotate.conf 配置文件中“dateext”参数：

• 如果配置文件中拥有“dateext”参数，那么日志会用日期来作为日志文件的后缀，例如
  “secure-20180605”。这样的话日志文件名不会重叠，所以也就不需要日志文件的改名，只需要保存指定的日志个数，删除多余的日志文件即可。

• 如果配置文件中没有“dateext”参数，那么日志文件就需要进行改名了。当第一次进行日志轮替时，当前的“secure”日志会自动改名为“secure.1”，然后新建“secure”日志，用来保存新的日志。当第二次进行日志轮替时，“secure.1”会自动改名为“secure.2”，当前的“secure”日志会自动改名为“secure.1”，然后也会新建“secure”日志，用来保存新的日志，以此类推。

1定义自己的日志
(7crit不好使换上info)

[root@localhost ~]# vi /etc/rsyslog.conf
#写入一下一句话
*.crit /var/log/alert.log
#把所有服务的“临界点”以上的错误都保存在/var/log/alert.log 日志中
[root@localhost ~]# service rsyslog restart
关闭系统日志记录器： [确定]
启动系统日志记录器： [确定]
#重启 rsyslog 服务
[root@localhost ~]# ll /var/log/alert.log 
-rw-------. 1 root root 0 6 月 5 10:33 /var/log/alert.log
# alert.log 日志就生成了

logrotate 配置文件

[root@localhost ~]# vi /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly
weekly
#每周对日志文件进行一次轮替
# keep 4 weeks worth of backlogs
rotate 4
#保存 4 个日志文件，也就是说如果进行了 5 次日志轮替，就会删除第一个备份日志
# create new (empty) log files after rotating old ones
create
#在日志轮替时，自动创建新的日志文件
# use date as a suffix of the rotated file
dateext
#使用日期作为日志轮替文件的后缀
# uncomment this if you want your log files compressed
#compress
#日志文件是否压缩。如果取消注释，则日志会在转储的同时进行压缩
#以上日志日志配置为默认配置，如果需要轮替的日志没有设定独立的参数，那么都会遵守以上参数。
#如果轮替日志配置了独立参数，那么独立参数优先级更高。
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
#包含/etc/logrotate.d/目录中所有的子配置文件。也就是说会把这个目录中所有子配置文件读取进来，
#进行日志轮替。
# no packages own wtmp and btmp -- we'll rotate them here
#以下两个轮替日志有自己的独立参数，如果和默认的参数冲突，则独立参数生效。
/var/log/wtmp {
#以下参数仅对此目录有效
monthly
#每月对日志文件进行一次轮替
create 0664 root utmp
#建立的新日志文件，权限是 0664，所有者是 root，所属组是 utmp 组
 minsize 1M
#日志文件最小轮替大小是 1MB。也就是日志一定要超过 1MB 才会轮替，否则就算
#时间达到一个月，也不进行日志转储
rotate 1
#仅保留一个日志备份。也就是只有 wtmp 和 wtmp.1 日志保留而已
}
/var/log/btmp {
#以下参数只对/var/log/btmp 生效
missingok
#如果日志不存在，则忽略该日志的警告信息
 monthly
 create 0600 root utmp
 rotate 1
}
# system-specific logs may be also be configured here.

是在/etc/logrotate.d/目录中建立此日志的轮替文件。具体步骤如下：

[root@localhost ~]# chattr +a /var/log/alert.log
#先给日志文件赋予 chattr 的 a 属性，保证日志的安全
[root@localhost ~]# vi /etc/logrotate.d/alter
#创建 alter 轮替文件，把/var/log/alert.log 加入轮替
/var/log/alert.log {
weekly #每周轮替一次
rotate 6#保留 6 个轮替日志
sharedscripts#以下命令只执行一次
prerotate#在日志轮替之前执行
/usr/bin/chattr -a /var/log/alert.log
#在日志轮替之前取消 a 属性，以便让日志可以轮替
endscript#脚本结束
sharedscripts
postrotate#在日志轮替之后执行
/usr/bin/chattr +a /var/log/alert.log
#日志轮替之后，重新加入 a 属性
endscript
sharedscripts
postrotate
/bin/kill -HUP $(/bin/cat /var/run/syslogd.pid 2>/dev/null) &>/dev/null
endscript
#重启 rsyslog 服务，保证日志轮替正常
}

我们执行 logrotate 命令，并查看下执行过程：

[root@localhost ~]# logrotate -v /etc/logrotate.conf
#查看日志轮替的流程
…省略部分输出…
rotating pattern: /var/log/alert.log weekly (6 rotations)
#这就是我们自己加入轮替的 alert.log 日志。
empty log files are rotated, old logs are removed
considering log /var/log/alert.log
 log does not need rotating #时间不够一周，所以不进行日志轮替
…省略部分输出…

我们发现/var/log/alert.log 加入了日志轮替，已经被 logrotate 识别，并调用了。只是时间没
有达到轮替的标准，所以没有进行轮替。那我们强制进行一次日志轮替，看看有什么结果：

[root@localhost ~]# logrotate -vf /etc/logrotate.conf
#强制进行日志轮替，不管是否符合轮替条件
…省略部分输出…
rotating pattern: /var/log/alert.log forced from command line (6 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/alert.log
 log needs rotating 日志需要轮替
rotating log /var/log/alert.log, log->rotateCount is 6
dateext suffix '-20180607' 提取日期参数
glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'
glob finding old rotated logs failed
running prerotate script
fscreate context set to unconfined_u:object_r:var_log_t:s0
renaming /var/log/alert.log to /var/log/alert.log-20180607
#旧的日志被重命名
creating new /var/log/alert.log mode = 0600 uid = 0 gid = 0
#创建新日志文件，同时制定权限、所有者和属组
running postrotate script
…省略部分输出…

[root@localhost ~]# ll /var/log/alert.log*
-rw-------. 1 root root 0 6 月 7 10:07 /var/log/alert.log
-rw-------. 1 root root 237 6 月 7 09:58 /var/log/alert.log-20180607
#旧日志文件已经转储
[root@localhost ~]# lsattr /var/log/alert.log
-----a-------e- /var/log/alert.log
#新的日志文件被自动加入了 chattr 的 a 属性。

logrotate 命令使用“-f”选项之后，就不管日志是否已经符合了日志轮替条件，而强制把所有
的日志都进行了轮替。