我发现很多人的服务器上都运行着一些诸如每天切分 Nginx 日志之类的 CRON 脚本,大家似乎遗忘了 Logrotate,争相发明自己的轮子,这真是让人沮丧啊!就好比明明身边躺着现成的性感美女,大家却忙着自娱自乐,罪过!
Logrotate 的介绍
显而易见,Logrotate 是基于 CRON 来运行的,其脚本是「/etc/cron.daily/logrotate」:
#!/bin/sh /usr/sbin/logrotate /etc/logrotate.conf EXITVALUE=$? if [ $EXITVALUE != 0 ]; then /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]" fi exit 0
实际运行时,Logrotate 会调用配置文件「/etc/logrotate.conf」:
# see "man logrotate" for details # rotate log files weekly weekly # keep 4 weeks worth of backlogs rotate 4 # create new (empty) log files after rotating old ones create # uncomment this if you want your log files compressed #compress # RPM packages drop log rotation information into this directory include /etc/logrotate.d # no packages own wtmp -- we'll rotate them here /var/log/wtmp { monthly minsize 1M create 0664 root utmp rotate 1 } # system-specific logs may be also be configured here.
这里的设置可以理解为 Logrotate 的缺省值,当然了,可以我们在「/etc/logrotate.d」目录里放置自己的配置文件,用来覆盖 Logrotate 的缺省值。
Logrotate 的演示
按天保存一周的 Nginx 日志压缩文件,配置文件为「/etc/logrotate.d/nginx」:
/usr/local/nginx/logs/*.log { daily dateext compress rotate 7 sharedscripts postrotate kill -USR1 `cat /var/run/nginx.pid` endscript }
如果你等不及 CRON,可以通过如下命令来手动执行:
shell> logrotate -f /etc/logrotate.d/nginx
当然,正式执行前最好通过 Debug 选项来验证一下,这对调试也很重要:
shell> logrotate -d -f /etc/logrotate.d/nginx
BTW:类似的还有 Verbose 选项,这里就不多说了。
Logrotate 的疑问
问题:sharedscripts 的作用是什么?
大家可能注意到了,我在前面 Nginx 的例子里声明日志文件的时候用了星号通配符,也就是说这里可能涉及多个日志文件,比如:access.log和error.log。说到这里大家或许就明白了,sharedscripts 的作用是在所有的日志文件都轮转完毕后统一执行一次脚本。如果没有配置这条指令,那么每个日志文件轮转完毕后都会执行一次脚本。
问题:rotate 和 maxage 的区别是什么?
它们都是用来控制保存多少日志文件的,区别在于 rotate 是以个数为单位的,而 maxage 是以天数为单位的。如果我们是以按天来轮转日志,那么二者的差别就不大了。
问题:为什么生成日志的时间是凌晨四五点?
前面我们说过,Logrotate 是基于CRON运行的,所以这个时间是由 CRON 控制的,具体可以查询 CRON 的配置文件「/etc/crontab」,可以手动改成如 23:59 等时间执行:
SHELL=/bin/bash PATH=/sbin:/bin:/usr/sbin:/usr/bin MAILTO=root HOME=/ # run-parts 01 * * * * root run-parts /etc/cron.hourly 59 23 * * * root run-parts /etc/cron.daily 22 4 * * 0 root run-parts /etc/cron.weekly 42 4 1 * * root run-parts /etc/cron.monthly
如果使用的是新版 CentOS,那么配置文件为:/etc/anacrontab。
问题:如何告诉应用程序重新打开日志文件?
以 Nginx 为例,是通过 postrotate 指令发送 USR1 信号来通知 Nginx 重新打开日志文件的。但是其他的应用程序不一定遵循这样的约定,比如说 MySQL 是通过 flush-logs 来重新打开日志文件的。更有甚者,有些应用程序就压根没有提供类似的方法,此时如果想重新打开日志文件,就必须重启服务,但为了高可用性,这往往不能接受。还好 Logrotate 提供了一个名为 copytruncate 的指令,此方法采用的是先拷贝再清空的方式,整个过程中日志文件的操作句柄没有发生改变,所以不需要通知应用程序重新打开日志文件,但是需要注意的是,在拷贝和清空之间有一个时间差,所以可能会丢失部分日志数据。
BTW:MySQL 本身在 support-files 目录已经包含了一个名为 mysql-log-rotate 的脚本,不过它比较简单,更详细的日志轮转详见「Rotating MySQL Slow Logs Safely」。
…
熟悉 Apache 的朋友可能会记得 cronolog,不过 Nginx 并不支持它,有人通过 mkfifo 命令曲线救国,先给日志文件创建管道,再搭配 cronolog 轮转,虽然理论上没有问题,但效率上有折扣。另外,Debian/Ubuntu 下有一个简化版工具 savelog,有兴趣可以看看。