Ubuntu日志存储位置及管理方法 - 问答

Ubuntu 日志存储位置及管理方法

一核心组件与存储位置

Ubuntu 采用双轨日志体系：由 systemd-journald 负责本地结构化日志，由 rsyslog 写入传统的 /var/log 文本日志，二者协同工作。
常见日志路径与用途如下：

路径	用途与说明
/var/log/syslog	通用系统日志（Debian/Ubuntu 特有，相当于 RHEL 的 messages）
/var/log/auth.log	认证与安全事件（登录、sudo、SSH 等）
/var/log/kern.log	内核日志
/var/log/dmesg	内核环缓冲（启动信息、驱动加载等）
/var/log/messages	通用系统消息（部分系统存在）
/var/log/boot.log	系统启动过程日志
/var/log/dpkg.log	APT/dpkg 安装与升级日志
/var/log/ufw.log	防火墙（UFW）日志
/var/log/apache2/	Apache 站点访问与错误日志目录
/var/log/mysql/	MySQL 服务日志目录

以上路径及用途适用于 Ubuntu 桌面与服务器版本的常见实践。

二查看与分析日志

使用 journalctl（结构化、可检索、跨启动会话）
- 查看全部：journalctl
- 实时跟踪：journalctl -f
- 按启动会话：journalctl -b（上一启动：-b -1；当前启动：-b 0）
- 按时间与级别：journalctl --since “2025-11-16 00:00:00” --until “2025-11-16 12:00:00” -p err
使用传统文本工具
- 实时查看：tail -f /var/log/syslog
- 关键字检索：grep -i error /var/log/syslog
- 分页查看：less /var/log/auth.log
常用组合示例
- 上一次启动的错误：journalctl -b -1 -p err
- 查看内核启动输出：dmesg 或 less /var/log/dmesg

三日志轮转与保留策略

文本日志（rsyslog 输出到 /var/log/*）
- 由 logrotate 管理，主配置 /etc/logrotate.conf，服务专属配置在 /etc/logrotate.d/（如 rsyslog、nginx、mysql）。
- 典型策略示例（/etc/logrotate.d/rsyslog）：
```
/var/log/syslog
{
    daily
    rotate 7
    compress
    delaycompress
    missingok
    notifempty
    create 640 root adm
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}
```
- 关键指令说明：
  - daily/weekly：按天/周轮转
  - rotate N：保留 N 份归档
  - compress/delaycompress：压缩归档（延迟一次）
  - missingok/notifempty：缺失不报错/空文件不轮转
  - create：新建日志的权限与属主
  - postrotate/endscript：轮转后通知服务重新打开日志（如 rsyslog-rotate）
- 验证与运行
  - 手动测试：sudo logrotate -vf /etc/logrotate.conf
  - 状态查看：cat /var/lib/logrotate/status
  - 定时执行：系统每日通过 /etc/cron.daily/logrotate 触发
systemd Journal（内存与持久化日志）
- 配置位于 /etc/systemd/journald.conf，常用参数：
  - Storage=persistent：重启后保留日志
  - SystemMaxUse=：限制日志最大占用（如 4G/8G）
  - Compress=yes：启用压缩节省空间
- 空间清理命令
  - 按时间：journalctl --vacuum-time 7d
  - 按大小：journalctl --vacuum-size 500M
- 重要提示：仅限制 journal 并不会限制 /var/log/*.log 的增长，需同时正确配置 journald 与 logrotate

四远程日志与集中管理

通过 rsyslog 转发到远程日志服务器（SIEM/ELK/云日志）
- 在 /etc/rsyslog.conf 或 /etc/rsyslog.d/ 添加规则：
  - 所有日志：. @remote_server:514（UDP）
  - 或：. @@remote_server:514（TCP）
- 应用与验证
  - 重启服务：sudo systemctl restart rsyslog
  - 在目标服务器使用 journalctl 或文本工具接收与检索
适用场景：多台主机集中审计、合规与故障统一分析

五生产环境最佳实践

明确分工：journald 做本地快速检索与取证，rsyslog 做标准化处理与转发。
双轨同时治理：在 journald.conf 设置合理的 SystemMaxUse，在 /etc/logrotate.d/ 为 /var/log/syslog、/var/log/auth.log 等配置合适的轮转与保留。
持久化与压缩：启用 Storage=persistent 与 Compress=yes，在 journal 与文本日志两侧都节省空间。
启动会话排查：结合 journalctl -b/-b -1 快速定位重启前后问题。
变更与验证：修改 rsyslog 或 logrotate 后，使用 systemctl restart rsyslog 与 logrotate -vf 验证，并观察 /var/lib/logrotate/status 与磁盘使用。

0 赞

0 踩