linux日志清理关键在于logrotate可控轮转而非直接删除,配置daily、rotate 7等参数实现自动归档压缩与过期清理,辅以find+cron处理未纳管日志,并需规避rm误删、journalctl/docke日志特殊性等风险。
Linux 系统日志长期积累会占用大量磁盘空间,定时清理是运维中的常规操作。关键不是“删”,而是“可控地轮转+自动过期”,避免误删关键日志或服务中断。
用 logrotate 实现自动化日志轮转与清理
logrotate 是 Linux 默认的日志管理工具,无需额外安装,配置灵活、稳定可靠。它不直接删除旧日志,而是按规则压缩、重命名、归档,并在达到保留条件后自动删除。
- 配置文件通常位于 /etc/logrotate.conf(全局)和 /etc/logrotate.d/ 目录下(各服务独立配置)
- 常见策略示例(如清理 /var/log/myapp.log):
/var/log/myapp.log {
daily
missingok
rotate 7
compress
delaycompress
notifempty
create 644 root root
} - 参数说明:
daily:每天轮转一次;
rotate 7:最多保留 7 个归档(即 7 天历史);
compress:用 gzip 压缩旧日志;
delaycompress:延迟压缩,最新一轮不压,便于排查;
missingok:日志文件不存在也不报错;
notifempty:空文件不轮转
手动触发与验证 logrotate 行为
配置完成后不要等待周期,应主动测试是否生效:
- 运行 logrotate -d /etc/logrotate.conf 查看调试输出(不实际执行)
- 加 -f 强制执行:logrotate -f /etc/logrotate.conf,观察日志文件变化
- 检查 /var/lib/logrotate/status 文件,确认最后轮转时间
- 查看目标目录(如 /var/log)是否有 myapp.log.1、myapp.log.2.gz 等生成
对无 logrotate 管理的日志文件,用 find + cron 清理
某些自定义脚本或容器日志未纳入 logrotate,可用 find 按时间筛选删除:
- 例如:清理 /opt/app/logs/ 下 30 天前的 .log 文件
find /opt/app/logs/ -name “*.log” -mtime +30 -delete - 写入 crontab(每天凌晨 2 点执行):
0 2 * * * find /opt/app/logs/ -name “*.log” -mtime +30 -delete 2>/dev/NULL - 注意:
-mtime +30 表示“修改时间超过 30×24 小时”,非精确到天;
建议先用 -print 替代 -delete 预览匹配结果;
加 2>/dev/null 屏蔽权限错误等提示
避免踩坑的关键细节
清理日志看似简单,但几个细节常导致问题:
- 不要直接 rm -rf /var/log/*.log:可能删掉正在写入的活跃日志,部分程序(如 rsyslog)无法自动重建文件
- 注意服务日志路径是否被重定向:比如 systemd 服务日志走 journalctl,需用 journalctl –vacuum-time=2weeks 清理
- 容器环境要区分宿主机与容器内日志:docker 容器默认日志在 /var/lib/docker/containers/,建议通过 dockerd –log-opt max-size=10m –log-opt max-file=3 控制
- 清理前确认磁盘使用情况:用 df -h 和 du -sh /var/log/* | sort -hr | head -10 定位大户