Ubuntu日志管理：最佳实践分享

以下是Ubuntu日志管理的最佳实践：

1. 日志存储与工具

   • 系统日志默认存放在/var/log目录，关键文件包括syslog（系统日志）、auth.log（认证日志）等。
   • 核心工具：
     • rsyslog：收集、过滤和转发日志，支持远程集中管理。
     • logrotate：自动轮转、压缩、删除旧日志，避免磁盘占满。
     • journalctl：查询和管理systemd-journald日志，支持按时间、服务过滤。

2. 日志轮转策略

   • 按天/周/月轮转，保留7-30天日志，压缩旧文件节省空间。
   • 配置示例（/etc/logrotate.d/下创建自定义配置）：

     /var/log/nginx/*.log {  
       daily  
       rotate 14  
       compress  
       missingok  
       notifempty  
       create 0640 root adm  
       postrotate  
         systemctl reload nginx  
       endscript  
     }  
     

3. 日志分析与监控

   • 常用命令：grep（过滤关键字）、awk（统计分析）、journalctl -u 服务名（查看特定服务日志）。
   • 工具：Logwatch生成每日日志报告，ELK Stack（Elasticsearch+Logstash+Kibana）实现可视化分析。
   • 设置监控告警：通过Prometheus+Grafana监控日志异常，触发邮件/短信通知。

4. 安全与合规

   • 限制日志文件权限：chmod 640 /var/log/敏感日志，防止未授权访问。
   • 定期备份日志到远程服务器或云存储，满足审计需求。
   • 禁用非必要日志记录，降低隐私泄露风险。

5. 自动化与维护

   • 使用Ansible/Puppet等工具批量配置日志策略，减少人工操作。
   • 定期检查/var/lib/logrotate/status确认轮转执行情况，清理过期备份。

参考来源：[1,2,3,4,5,6,7,9,10,11]