centos日志文件位置及管理方法

CentOS 日志文件位置与管理方法

一 日志文件位置与用途

• 常见日志集中在目录：/var/log/。下表列出常用文件与用途（不同版本或安装组件可能略有差异）：

二 查看与分析日志

• 传统文本日志常用命令：
  • 实时查看：tail -f /var/log/messages
  • 关键字过滤：grep “error” /var/log/messages
• systemd 日志（journald）常用命令：
  • 查看全部：journalctl
  • 实时跟踪：journalctl -f
  • 按服务查看：journalctl -u httpd.service
  • 按时间范围：journalctl --since “2025-12-01” --until “2025-12-05”
  • 按优先级：journalctl -p err
  • 查看本次启动：journalctl -b
• 登录类日志辅助命令：w、last、lastlog。

三 日志轮转与保留策略 logrotate

• 配置文件与机制：
  • 主配置：/etc/logrotate.conf；按服务拆分：/etc/logrotate.d/（推荐在子配置中管理）
  • 常用指令：daily/weekly/monthly、rotate N、compress、delaycompress、missingok、notifempty、create、dateext、minsize、maxsize
• 示例（精简版）：
  • 全局默认（/etc/logrotate.conf 片段）：
    • weekly、rotate 4、create、dateext
  • YUM 日志（/etc/logrotate.d/yum 片段）：
    • missingok、notifempty、maxsize 30k、create 0600 root root
• 手动触发与状态：
  • 立即执行：/usr/sbin/logrotate /etc/logrotate.conf
  • 指定状态文件：/usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf

四 清理与维护

• 清理 systemd 日志（journald）：
  • 按时间保留：journalctl --vacuum-time=2d
  • 按容量保留：journalctl --vacuum-size=500M
  • 先轮转再清理：journalctl --rotate & & journalctl --vacuum-time=2weeks
• 清理传统日志文件的安全做法：
  • 不建议直接删除正在写入的日志；优先通过 logrotate 轮转与压缩归档
  • 若必须快速释放空间，可先清空（而非删除）文件：> /var/log/messages（确保服务允许）
  • 清理前先备份重要日志，清理后验证服务与日志写入是否正常
• 磁盘与目录巡检：
  • 查看占用：df -lh、du -sh /var/log/*

五 集中化与长期保存

• 远程日志（rsyslog 发送）：
  • 配置行（/etc/rsyslog.conf 或 /etc/rsyslog.d/ 下新增）：“. @remote_server_ip:514”
  • 重启服务：systemctl restart rsyslog
• 持久化 systemd 日志：
  • 编辑：/etc/systemd/journald.conf，设置 Storage=persistent
  • 重启服务：systemctl restart systemd-journald
• 日志分析与可视化：
  • 轻量分析：Logwatch
  • 集中平台：ELK Stack（Elasticsearch、Logstash、Kibana）、Splunk、Fluentd

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！