logrotate使用及权限不够（Permission denied）处理

背景

Linux系统下，Tomcat的catalina.out日志会随着时间的增长变的越来越大，最终会导致磁盘空间被占满，程序无法运行。目前的在我们测试服务器上，20天就会增大到30G。

说明

catalina.out文件内容：

tomcat的标准输出(stdout)和标准出错(stderr)，这是在tomcat的启动脚本里指定的，如果没有修改的话stdout和stderr会重定向到这里。所以我们在应用里使用System.out打印的东西都会到这里来。一般不需要看，但一旦系统发生错误你的业务日志源如果没有捕百获到该异常就无法定位问题。

如果我们在应用里使用其他的日志框架，配置了向Console输出的，则也会在这里出现。比如以logback为例，如果配置ch.qos.logback.core.ConsoleAppender则会输出到catalina.out里。

注意点

catalina.out文件不能直接只用rm命令进行删除。因为catlina.out 是tomcat 的输出日志，只要运行就会有日志输出，所有不能直接删除，要去清空。即当进程打开了某个文件时，只要该进程保持打开该文件，即使将其删除，它依然存在于磁盘中。这意味着，进程并不知道文件已经被删除，它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入，导致即使删除了文件，文件还是会占用磁盘空间。

使用该命令清空文件

echo -n  " " > catalina.out

logrotate工具

注意点:使用root用户添加文件，且在配置文件中需要赋予root权限（su root root），否则不能执行，会出现如下图的错误。

使用

在/etc/logrotate.d/目录下新建一个名为tomcat的文件即可。

/usr/local/vcms/basic/tomcat/logs/catalina.out{
    su root root
    copytruncate
    daily
    rotate 7
    missingok
    compress
    size 16M
}

配置说明

/usr/local/vcms/basic/tomcat/logs/catalina.out{ # 要轮转的文件，对应的catalina.out文件
    su root root # 使用root权限
    copytruncate # 创建新的catalina.out副本后，截断源catalina.out文件
    daily     # 每天进行catalina.out文件的轮转
    rotate 7   # 至多保留7个副本
    missingok   # 如果要轮转的文件丢失了，继续轮转而不报错
    compress   # 使用压缩的方式（非常有用，节省硬盘空间；一个2~3GB的日志文件可以压缩成60MB左右）
    size 16M   # 当catalina.out文件大于16MB时，就轮转
}

工作原理

1. 每天晚上crond守护进程会运行在/etc/cron.daily目录中的任务列表；
2. 与logrotate相关的脚本也在/etc/cron.daily目录中。运行的方式为"/usr/bin/logrotate /etc/logrotate.conf"；
3. /etc/logrotate.conf文件include了/etc/logrotate.d/目录下的所有文件。还包括我们上面刚创建的tomcat文件；
4. /etc/logrotate.d/tomcat文件会触发/usr/local/vcms/basic/tomcat/logs/catalina.out文件的轮转。

以上是程序自动完成的，不需要我们干预。当然了，我们也可以使用手工的方式进行logrotate程序。在命令行进行如下运行：

logrotate /etc/logrotate.conf

或者只轮转刚刚的tomcat配置文件，可以这样运行：

logrotate --force /etc/logrotate.d/tomcat

手动执行8次后，目录情况

会按序号，生成7个压缩文件，当多余7个时，会删除之前的压缩文件，确保不会占用过多的磁盘空间。

CentOS7下使用logrotate提示权限不够（Permission denied）

error: error opening /usr/local/vcms/basic/tomcat/logs/catalina.out: Permission denied
或者
error: stat of /home/hikvision/test.log failed: Permission denied

原因

CentOS默认开启selinux。通过下面方式查看，SELINUX=enforcing表示开启selinux。需要关闭，设置SELINUX=disabled,修改后需要reboot重启。其中hikOS默认是关闭selinux的。

$ cat /etc/sysconfig/selinux
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#   enforcing - SELinux security policy is enforced.
#   permissive - SELinux prints warnings instead of enforcing.
#   disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
#   targeted - Only targeted network daemons are protected.
#   strict - Full SELinux protection.
SELINUXTYPE=targeted

selinux简单说明

安全增强型 Linux（Security-Enhanced Linux）简称 SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。SELinux 主要由美国国家安全局开发。
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

文件编码问题

使用notepad++，可查看到多余的字符。东西少可以直接手动编辑。

error: /etc/logrotate.d/tomcat:1 lines must begin with a keyword or a filename (possibly in double quotes)