自编译nginx的日志轮替配置

一般来说，linux通过rpm安装的nginx都自带有日志轮替的配置，所以并不会导致单个日志过大的问题。但如果我们通过自编译来部署nginx，是需要自行配置的。日志轮替的原理就是利用linux的logrotate工具进行，我们现在直接参考rpm安装的logrotate配置文件来进行配置，内容如下

/var/opt/rh/rh-nginx120/log/nginx/*log {
    create 0644 root root
    daily
    rotate 10
    missingok
    notifempty
    compress
    sharedscripts
    postrotate
        /bin/kill -USR1 `cat /var/opt/rh/rh-nginx120/log/nginx/nginx.pid 2>/dev/null` 2>/dev/null || true
    endscript
}

将以上内容放到/etc/logrotate.d/ 目录下。

然而，第二天你会发现，日志并没有被归档？

让我们看一下日志/var/log/messages，会发现有以下一行不是很明显的报错日志，但这只说明退出码错误。

有没有更详细的的呢？有！这样的操作，一般都会发到root的系统mail邮箱中。我们查看一下/var/spool/mail/root，里面记录了更加详细的内容，如下图。

根据上图，明显可以看到是因为权限不足的原因导致的，这时候我们首先排查的就是相应目录和文件的rwx权限。

权限正常呀？那怎么还会提示权限不足的问题呢！？

这时候，我们不要忘了，Linux系统对权限的控制，还有另外一种 selinux 。

然后我们查看一下系统的审计日志内容， /var/log/audit/audit.log

果然，我们可以看到下图中对logrotate的 deny限制，说明，正是selinux导致的。 

对以上的解决方法无非两种，关闭selinux或者给文件、目录授权相应的selinux策略。

那我们再想想，为什么rpm包安装的nginx没有这样的问题呢？那肯定是因为安装的时候已经配置了。

 好，那我们下载一个rpm的安装包瞧一瞧。

解包后，我们在\opt\rh\rh-nginx120\register.d\路径下可以看到90.XXXXX.run的文件，打开里面的内容，就可以找到我们的解决方法。

 所以，接下来我们配置

semanage fcontext -a -e /var/log/nginx /var/opt/rh/rh-nginx120/log/nginx

restorecon -R /var/opt/rh/rh-nginx120/log/nginx

 OK，这下就彻底解决nginx日志轮替的问题。

关于selinux的问题延伸一下：

首先需要selinux的一些基础知识，然后我们往下看。

关于/var/log/nginx的selinux的rule我们可以看一下，其 type为 httpd_log_t ，那么我们是否必须将nginx的log的selinux的type类型设置为  httpd_log_t 呢？

并不一定，这个涉及到selinux中的原理，我们可以简单的通过工具看

sealert -a audit.log

通过这个命令可以分析相应的日志并给出对应的建议，通过以上命令我们可以看到一些结果，重点关注标红的那一部分，可以看出FILE_TYPE可以选择的类型非常多。