Ubuntu日志清理策略有哪些 - 问答

Ubuntu系统常见的日志清理策略主要包括以下几类，覆盖从临时应急到长期自动化的全场景需求：

journalctl是Ubuntu中管理Systemd日志的核心工具，可通过命令快速清理过期或过大的日志：

查看日志占用空间：journalctl --disk-usage（显示当前Journal日志占用的磁盘空间，如“1.2G”）；
按时间清理：sudo journalctl --vacuum-time=1w（删除1周前的日志，仅保留最近7天）；sudo journalctl --vacuum-time=3d（删除3天前的日志）；
按大小清理：sudo journalctl --vacuum-size=500M（删除日志直到占用空间≤500MB）。
该方法适合快速释放Systemd日志占用的空间，尤其适用于临时磁盘空间不足的场景。

对于/var/log目录下的大量.log文件（如syslog、auth.log等），可通过以下命令批量清空内容：

清空单个文件：sudo truncate -s 0 /var/log/syslog（将syslog文件大小截断为0字节，保留文件属性）；sudo > /var/log/auth.log（用重定向覆盖文件内容，实现清空）；
批量清空所有.log文件：sudo find /var/log -type f -name "*.log" -exec truncate -s 0 {} \;（查找/var/log下所有.log文件，并逐个清空）。
该方法操作简单，适合临时清理大量日志文件，但需注意避免误删关键日志（如安全审计日志）。

logrotate是Ubuntu默认的日志轮转工具，可通过配置规则实现日志的定期轮转、压缩、删除，避免日志文件无限增长：

默认配置文件：主配置文件/etc/logrotate.conf（全局设置），服务特定配置文件存放在/etc/logrotate.d/目录下（如rsyslog、apache2等）；
常用配置参数：
- daily：每天轮转一次；
- rotate 7：保留最近7个轮转后的日志文件；
- compress：压缩旧日志（如syslog.1.gz）；
- missingok：日志文件不存在时不报错；
- notifempty：日志为空时不轮转；
- create 0640 root adm：轮转后创建新日志文件，设置权限为0640，属主为root，属组为adm；

示例配置（针对syslog）：编辑/etc/logrotate.d/rsyslog，添加：

/var/log/syslog {
    daily
    rotate 7
    compress
    missingok
    notifempty
    create 0640 root adm
}

手动测试配置：sudo logrotate -f /etc/logrotate.conf（强制执行轮转，验证配置是否正确）。
logrotate适合长期维护系统日志，减少手动操作，确保日志文件有序管理。

当磁盘空间极度紧张或需要完全删除旧日志时，可采用此方法：

删除日志文件：sudo rm /var/log/syslog（删除指定日志文件）；
重建空文件：sudo touch /var/log/syslog && sudo chmod 640 /var/log/syslog && sudo chown root:adm /var/log/syslog（创建空文件并恢复正确的权限与属主）。
该方法会彻底释放日志文件占用的空间，但需注意：某些服务（如rsyslog）依赖日志文件的存在，删除后需及时重建，否则可能导致服务报错。

0 赞

0 踩