Ubuntu syslog日志清理方法有哪些

在Ubuntu系统中，清理syslog日志可以通过以下几种方法进行：

查看日志文件大小

• 使用命令 du -sh /var/log 可以查看 /var/log 目录的大小，了解哪些文件占用了大量空间。
• 使用命令 sudo du -ah /var/log | sort -rh | head -n 20 可以列出 /var/log 中最大的20个文件。

清理具体的日志文件

• 可以通过清空文件内容的方式进行清理，而不删除文件本身：

  sudo truncate -s 0 /var/log/syslog
  sudo truncate -s 0 /var/log/syslog.1
  sudo truncate -s 0 /var/log/auth.log
  

• 根据需要清空其他日志文件，使用 ls /var/log 来查看该目录下的日志文件列表。
• 一些已经轮替过的旧日志文件可以直接删除，例如：

  sudo rm /var/log/*.gz
  

• 对于 /var/log/syslog.1 文件，如果无法清空，可以尝试删除后重启系统的日志服务：

  sudo rm /var/log/syslog.1
  sudo systemctl restart rsyslog
  

使用 journalctl 清理日志

• journalctl 是一个用于系统日志的工具，可以通过以下命令清理：
  • 查看 journalctl 日志的大小：

    sudo journalctl --disk-usage
    

  • 删除老旧的日志：可以选择保留最近几天的日志，删除更旧的日志。例如，保留最近7天的日志：

    sudo journalctl --vacuum-time=7d
    

  • 限制 journalctl 的日志大小：可以设置日志文件的大小限制，例如限制总大小为500MB：

    sudo journalctl --vacuum-size=500M
    

使用 logrotate 管理日志

• Ubuntu 系统通常使用 logrotate 来自动管理日志文件的大小和轮替。可以通过调整 /etc/logrotate.conf 或 /etc/logrotate.d/ 中的配置文件来优化日志轮替策略。
• syslog 的轮替配置通常在 /etc/logrotate.d/rsyslog 文件中进行设置。可以编辑这个文件来限制 syslog 的大小。

示例配置：

/var/log/syslog {
    size 100M
    rotate 4
    compress
    delaycompress
    missingok
    notifempty
    create 640 syslog adm
    postrotate
        /usr/lib/rsyslog/rsyslog-rotate
    endscript
}

配置项说明：

• size 100M：当 syslog 文件达到100MB时，进行轮替。
• rotate 4：保留4个轮替的日志文件（即 syslog.1, syslog.2.gz 等），超过这个数量的旧日志文件将被删除。
• compress：压缩轮替后的旧日志文件（如 syslog.1.gz）。
• delaycompress：推迟一轮压缩操作，以确保最近的轮替日志文件（syslog.1）不会立即压缩。
• missingok：如果日志文件不存在，不会报错并继续处理下一个文件。
• notifempty：如果日志文件为空，不进行轮替操作。
• create 640 syslog adm：轮替后创建新日志文件，并设置权限。

通过上述方法，可以有效地管理和清理Ubuntu系统中的syslog日志，确保系统的稳定运行和日志文件的可管理性。