linux jounery 日志相关问题

        /var/log 目录

        是 Linux 系统中存放各种日志文件的标准位置。

        这些日志文件记录了系统及其服务的运行状态。

日志文件来源

1. 系统日志

   • 由 syslog 或 systemd-journald（如果使用 systemd 的话）等日志服务生成。
   • 记录内核消息和各种系统事件，例如启动信息、硬件检测结果等。

2. 应用程序日志

   • 各种服务器软件如 Apache (/var/log/apache2/ 或 /var/log/httpd/)、MySQL (/var/log/mysql/)、Nginx (/var/log/nginx/) 等会将其运行时的信息写入到指定的日志文件中。
   • 其他用户级应用也可能配置为将日志输出到此目录下的特定文件里。

3. 安全相关日志

   • 包括登录尝试（/var/log/auth.log 或 /var/log/secure）、sudo 命令使用情况等，有助于追踪潜在的安全威胁。

4. 包管理器日志

   • 如 apt (/var/log/apt/) 或 yum (/var/log/yum.log)，记录了软件安装、更新和删除的历史记录。

5. cron 作业日志

   • 如果启用了 cron 作业的日志记录功能，则会在 /var/log/cron.log 中找到定时任务执行的相关信息。

6. 邮件服务器日志

   • 对于那些运行邮件服务器的系统，可能会有专门的邮件日志文件来记录发送和接收邮件的情况。

7. 其他

   • 根据具体的应用场景和服务配置，还可能有更多类型的日志文件出现在这个目录下。

日志轮替

        为了避免单个日志文件变得过大，

        Linux 使用日志轮替机制(logrotate)定期对日志文件进行压缩归档，

        并创建新的空日志文件供继续写入。

        这通常通过 /etc/logrotate.conf 和 /etc/logrotate.d/ 下的相关配置实现。

        这样可以有效地控制日志文件的大小，并保留一段时间内的历史日志以供分析。

管理日志

        完全禁用日志记录并不是一个推荐的做法，因为日志对于系统的监控、故障排查和安全审计至关重要。

        然而，在某些特定情况下（如测试环境或资源极度受限的环境中），

        你可能希望减少或停止生成某些类型的日志文件。

以下是一些方法来减少或停止日志记录：

(推荐)编辑 /etc/systemd/journald.conf

sudo nano /etc/systemd/journald.conf

在文件中找到或添加以下行：

• Storage=none：这将告诉 journald 不要在磁盘上保存任何日志（仅内存日志）。
• RateLimitIntervalSec=0 和 RateLimitBurst=0：如果要关闭速率限制，可以设置这些选项（不过这不是直接减少日志量的方法，而是防止因过多日志导致的服务拒绝）。

保存并退出后，重启 systemd-journald 服务以应用更改：

sudo systemctl restart systemd-journald

注意：这样做会使你无法查看过去的日志，除非它们被转发到远程日志服务器。

        设置 systemd-journald 定期清理日志，

        你可以通过配置 journald 的配置文件来控制其行为。

    journald 使用了一个名为 systemd-journald 的服务来收集并存储系统日志，

        并且可以通过 /etc/systemd/journald.conf 配置文件对其进行配置。

sudo nano /etc/systemd/journald.conf

配置日志存储策略

在该文件中，你可以添加或修改以下参数来控制日志的存储和清理策略：

• Storage：决定日志是仅保存在内存中 (volatile)、磁盘上 (persistent) 还是两者都存 (auto)。默认值通常是 auto。

Storage=persistent

        SystemMaxUse 和 RuntimeMaxUse：限制日志占用的最大磁盘空间。例如，限制日志最多使用 500MB 磁盘空间：

SystemMaxUse=500M
RuntimeMaxUse=50M

        SystemKeepFree 和 RuntimeKeepFree：确保至少有这么多的磁盘空间是空闲的，防止日志占用过多空间影响其他应用运行。

SystemKeepFree=1G
RuntimeKeepFree=100M

         SystemMaxFileSize 和 RuntimeMaxFileSize：限制单个日志文件的最大大小。例如，限制每个日志文件最大为 100MB：

SystemMaxFileSize=100M
RuntimeMaxFileSize=10M

        MaxRetentionSec：设置日志保留的时间长度。例如，设置日志保留时间为 1 周： 

MaxRetentionSec=1week

        重启 systemd-journald 服务

        修改完配置文件后，需要重启 systemd-journald 服务以使更改生效：

sudo systemctl restart systemd-journald

验证配置是否生效

        可以检查当前的日志状态以及配置是否正确应用：

journalctl --disk-usage

        这条命令会显示当前日志所占用的磁盘空间。

2. 配置 Syslog 或 Rsyslog

        如果你的系统使用 syslog 或 rsyslog 来处理日志，

        则可以通过编辑相应的配置文件来调整日志级别或禁止某些类别的日志写入。

编辑 /etc/rsyslog.conf 或 /etc/syslog.conf

        你可以注释掉不需要的日志规则，

        或者设置最低日志级别为更高的值（例如从 info 提高到 warning 或更高）。

例如，为了减少内核日志的详细程度：

kern.warning /var/log/kernel.log

3. 使用 Logrotate 控制日志文件大小

        虽然这不会阻止日志生成，但可以有效地管理日志文件的大小，避免它们占用过多空间。

        编辑 /etc/logrotate.conf 或相关的应用程序特定的日志轮换配置文件（通常位于 /etc/logrotate.d/ 下），增加轮换频率或减少保留的日志数量。