Ubuntu root權限下系統(tǒng)日志歸檔策略

在Ubuntu系統(tǒng)中，root權限下可以管理系統(tǒng)日志歸檔策略

1. 使用logrotate工具：

logrotate是一個用于管理日志文件的工具，它可以自動壓縮、刪除和郵件通知日志文件。要使用logrotate管理Ubuntu系統(tǒng)日志，首先需要創(chuàng)建一個配置文件，通常位于/etc/logrotate.d/目錄下。以下是一個簡單的logrotate配置文件示例：

/var/log/*.log {
    daily
    rotate 7
    compress
    missingok
    notifempty
    create 640 root adm
    sharedscripts
    postrotate
        if [ -f /var/run/syslog.pid ]; then
            kill -USR1 `cat /var/run/syslog.pid`
        fi
    endscript
}

這個配置文件表示：

• 每天輪換一次日志文件（daily）
• 保留7天的日志文件（rotate 7）
• 壓縮舊日志文件（compress）
• 如果日志文件不存在，不報錯（missingok）
• 不處理空日志文件（notifempty）
• 以640權限和root用戶及組創(chuàng)建新日志文件（create 640 root adm）
• 在日志輪換后，發(fā)送郵件通知（需要配置郵件服務器，如Postfix）

2. 使用syslog-ng工具：

syslog-ng是一個功能強大的日志收集和分析工具。要使用syslog-ng管理Ubuntu系統(tǒng)日志，首先需要安裝syslog-ng軟件包：

sudo apt-get install syslog-ng

接下來，可以編輯syslog-ng的配置文件（通常位于/etc/syslog-ng/syslog-ng.conf）來自定義日志歸檔策略。以下是一個簡單的配置文件示例：

source /var/log/syslog {
    file(rotate 7)
    daily
    compress
    missingok
    notifempty
    create 640 root adm
};

destination mail {
    mailserver(smtp://your-mail-server.com);
};

log {
    source(source);
    destination(mail);
    filter(filter_syslog);
};

filter filter_syslog {
    regex(".*");
};

這個配置文件表示：

• 從/var/log/syslog文件中讀取日志（source /var/log/syslog）
• 每天輪換一次日志文件，保留7天的日志文件，壓縮舊日志文件，不處理空日志文件，以640權限和root用戶及組創(chuàng)建新日志文件（file(rotate 7) daily compress missingok notifempty create 640 root adm）
• 將日志發(fā)送到郵件服務器（需要配置郵件服務器，如Postfix）（destination mail）
• 使用filter_syslog過濾器將日志發(fā)送到郵件服務器（log { source(source); destination(mail); filter(filter_syslog); }）

通過這些配置，可以實現(xiàn)Ubuntu系統(tǒng)日志的歸檔策略。