你真的搞懂logrotate了吗？

logrotate机制&原理

centos系统中默认安装logrotate，logrotate主配置文件：/etc/logrotate.conf，其中定义了系统默认的logrotate规则，当系统中安装了RPM 软件包时，使用include定义其子配置文件的位置：/etc/logrotate.d/*，include选项十分重要，一些应用把日志转储参数存放在/etc/logrotate.d ，典型的应用有：apache，nginx，cron，syslog等，这样，只要管理一个 /etc/logrotate.conf 文件就能够了。
使用时配合crontab按期执行logrotate命令，cron的主配置文件/etc/anacrontab中定义了crontab的默认执行规则，其中系统自带的每1天执行的cron计划配置文件放在/etc/cron.daily/目录下，在该目录下的logrotate文件内容以下：

#!/bin/sh
/usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
    /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi

该脚本天天定时执行一次，即系统默认的logrotate时间计划。若是想更改系统默认的logrotate时间计划，能够将该文件挪走，而后在crontab中指定本身的时间计划，如：

#每两天执行一次系统日志切割
* * */2 * * /usr/sbin/logrotate -f /etc/logrotate.conf

logrotate实例解读

关于logrotate的cron计划在/etc/cron.daily/logrotate，与cron配合使用，春雨弃用系统自带的cron计划，制定cron以下：

cron计划：
17 *   * * *  root    run-parts /etc/cron.hourly
47 23  * * *  root    run-parts /etc/cron.daily
47 6   * * 7  root    run-parts /etc/cron.weekly
52 6   1 * *  root    run-parts /etc/cron.monthly

即，在天天23:47执行/etc/cron.daily计划下的操做，进行日志切割,logrotate规则配置文件以下：

[root@control ~]$ ls /etc/logrotate.d/

系统日志logrotate过程

• 执行cron计划

47 23  * * *  root    run-parts /etc/cron.daily

• 执行/etc/cron.daily的logrotate文件

#!/bin/sh
/usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
    /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi

• 执行/etc/logrotate.conf配置的规则，根据“include /etc/logrotate.d”参数执行/etc/logrotate.d/下的logrotate配置文件，系统日志相关的是syslog：

/var/log/cron
/var/log/maillog
/var/log/secure
/var/log/messages
/var/log/spooler
{
    #每日切割
    daily
    #忽略执行过程当中的全部错误
    missingok
    #时间戳，默认是年月日；可使用dateformat参数自定义
    dateext
    #转储周期为10天，十天前的日志会被删除
    rotate 10
    #不切割空日志文件
    notifempty
    #一般prerotate和postrotate脚本为每个轮转的日志运行，
    #sharedscripts的做用是使全部的日志轮转完成后再执行脚本
    sharedscripts
    #定义日志切割完成后的操做，做用是从新定义进程日志文件描述符，是日志写入新的日志文件
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

项目日志logrotate过程

nginx日志logrotate过程

/usr/local/nginx/logs/*.log {
daily
dateext
rotate 10
missingok
# 不建立新日志文件
nocreate
# notifempty
# compress  #压缩切割后的日志
sharedscripts
#发送USR1信号来通知Nginx从新打开日志文件
postrotate
    /bin/kill -USR1 `cat /var/run/nginx.pid` || true
endscript
}

该过程与系统日志切割的区别是对新生成的日志文件的处理方式，由于程序日志输出所指向的位置是由文件的iNode号来识别的，因此nginx、uwsgi等程序的日志在切割完成后须要执行postrotate指定的脚原本更新程序所指向的日志文件inode。

uwsgi

/home/workspace/log/uwsgi/uwsgi.*log {
    # 每日轮询
    daily
    # 旧日志文件以更新日期命名
    dateext
    # 最多10个归档日志,多余10个,最先的日志文件被删除
    rotate 10
    # 在日志轮循期间，任何错误将被忽略，例如“文件没法找到”之类的错误。
    missingok
    # 不建立新日志文件
    nocreate
    sharedscripts
    postrotate
         /bin/touch /home/workspace/scripts/uwsgi/touch_reopen_log
    endscript
}

关于postrotate

postrotate后面跟随的是一个命令行，通常是用来从新生成日志文件或者冲定义应用所指向的文件描述符（fd：file description），拿nginx和uwsgi为例：

nginx

• 完成日志切割后建立新的nginx日志文件，此时该文件的fd发生改变
• nginx中日志输出对应的文件fd未同步更新，nginx会向原fd对应的日志文件写数据
• “/bin/kill -USR1 cat /var/run/nginx.pid || true”，更新nginx默认日志文件的fd到新建的日志文件（该效果等同于reload）。

uwsgi

• uwsgi不能经过reload方式建立本身的log文件
• logrotate配置文件中使用参数create建立新的uwsgi日志文件
• touch-logreopen参数：当指定的文件被touch事后，会让uwsgi重定向日志输出对应的文件fd，而且不会终止当前的服务（不是stop+start，而是reload的概念）
• logrotate配置文件postrotate：“/bin/touch /home/workspace/scripts/uwsgi/touch_reopen_log”

日志rotate方式

logrotate提供了两种日志rotate方式，两种方式的区别在于新的日志文件的处理方式。

• 一种就如上面nginx所述，在完成rotate以后建立新文件，而后更新程序的日志文件描述符指向到新日志文件（即将新日志写入新日志文件） ；
• 另外一种方式叫作copytruncate，该方式是先建立新文件存储旧日志，而后清空旧日志文件（echo “” > old_logfile），此时文件的iNode号不会发生改变，新产生的日志会继续写入旧的日志文件中（能够简单的理解为旧日志内容作了一次备份），须要注意的是，该方法会有部分日志丢失：日志在拷贝完到清空文件这段时间内，程序输出的日志没有备份就清空了。

综上，优先选用第一种方法进行日志切割。

copytruncate模式实例

/data/logs/*/*.log
{
    daily
    missingok
    dateext
    rotate 30
    notifempty
    copytruncate
}

关于/bin/kill -HUP

"/bin/kill -USR1 `cat /var/run/nginx.pid` || true"

看到这条命令很容易想到：

/bin/kill -HUP `cat /var/run/nginx.pid 2> /dev/null` 2> /dev/null || true

这两条命令的大概含义是重载nginx服务，目的是从新生成nginx的日志文件。

>/dev/null 2>&1，/dev/zero

/dev/null

/dev/null：是设备自带的一个控设备，能够理解为一个黑洞文件，写入它的全部东西都将消失，一般被用于丢弃不须要的输出流。

/dev/zero

在类Unix操做系统中，/dev/zero是一个特殊文件，当你读到它时，它会提供无线的空字符，其中的一个典型用法是用它提供的字符流来覆盖信息，另外一个常见用法是产生一个特定大小的空白文件（在临时增长swap空间时有用到）。

2>&1

这个实际上是三个部分组成的：2，>&，1 。在/usr/include/unistd.h中，你能够找到以下代码：

#define STDIN_FILENO    0   #define STDOUT_FILENO   1   #define STDERR_FILENO   2

2表示stderr；1表示stdout；0表示stdin，而“&>”则表示把符号左边的内容以符号右边的形式输出。