首页 > 文章 > php教程

PHP日志轮转与归档方法

时间：2026-05-16 09:01:16 462浏览收藏

PHP日志管理的核心陷阱在于“谁负责轮转”——PHP自身完全不处理日志轮转，必须明确交由外部工具（如logrotate）、第三方库（如Monolog）、系统服务（如auditd）或容器运行时（如Docker日志驱动）分责接管；配置稍有错位——比如logrotate漏写rotate/maxage、权限不匹配、信号未重载，或Monolog与系统轮转双启用导致文件冲突，轻则日志堆积磁盘爆满，重则审计失效、历史丢失、合规风险失控；尤其在容器环境中，更需警惕进程生命周期与轮转机制的脱节。真正决定日志是否可靠的关键，不是技术多复杂，而是权责是否清晰、边界是否严丝合缝。

PHP日志轮转与归档

PHP自身不轮转日志，轮转必须由外部工具（如 logrotate）或第三方库（如 Monolog）接管；混淆这两者会导致日志堆积、磁盘爆满、旧文件不清理。

logrotate 配置必须显式写 `rotate` 和 `maxage`

只写 daily 或 size 100M 不会自动删旧文件——logrotate 默认不做任何清理动作。必须配 rotate 30（保留最多 30 个归档）和/或 maxage 90（删修改时间超 90 天的归档），两者可共存，maxage 优先级更高。

rotate 5 + maxage 14：某天发现 error.log.6 修改时间是 15 天前 → 立即被删，哪怕还没轮到第 6 次归档
没写 rotate？即使有 maxage，logrotate 也不会归档，更不会清理
权限要匹配 PHP 进程用户：create 640 www-data www-data，否则新日志写失败且无报错
postrotate 必须发信号重载服务：PHP-FPM 用 kill -USR2，Nginx 用 kill -HUP，Apache 用 rotatelogs 或 reload

Monolog 的 `RotatingFileHandler` 和系统轮转互不干扰

Monolog 的轮转是 PHP 进程内完成的，和 logrotate 完全无关。如果你同时配了 Monolog 轮转 + logrotate，可能造成双轮转、文件名冲突、日志丢失。

RotatingFileHandler 按大小轮转：new RotatingFileHandler('/path/app.log', 30, Logger::DEBUG) 中的 30 是最大保留份数，不是天数
它不支持按日期轮转原生，DailyRotatingFileHandler 是 Monolog v2+ 才有的独立类，不是 RotatingFileHandler 的一个参数开关
ThinkPHP 等框架若已启用原生日志驱动，必须禁用它，再用 Log::setLogger($monolog) 替换，否则双写冲突
Monolog 轮转后文件名是 app.log.1、app.log.2……不带日期，查历史得靠顺序而非时间戳

审计类日志必须加写保护，不能只靠轮转

轮转只是组织文件，防删靠的是权限与属性控制。审计日志一旦被覆盖或删除，合规就直接失效。

对日志目录执行 chattr +a /var/log/audit/：只允许追加，禁止覆盖、截断、删除
归档完成后立即对旧文件设 chattr +i，或移入只读子目录（chmod 500 + chown root:root）
禁止应用进程直接写审计路径；应由 auditd 统一管理，PHP 只负责业务日志
用 auditctl 监控 /var/log/audit/ 下的 rm、chattr、truncate 行为，并把 audit 日志发往独立服务器

容器环境里日志轮转最容易被忽略的点

容器默认没有 logrotate，也没有 systemd，PHP 进程退出后句柄一并关闭，日志轮转逻辑极易失效。

别在容器里跑 logrotate 定时任务：cron 不可靠，且容器可能随时重启
推荐方案：挂载宿主机 /var/log 到容器内，由宿主机 logrotate 统一管理
如果必须容器内轮转，用 Monolog + RotatingFileHandler，但注意：容器重启后，PHP 进程无法感知宿主机已轮转的文件，仍会往旧句柄写（需配合 reopen 机制或信号）
Docker 日志驱动（json-file、local）自带轮转，但仅适用于 stdout/stderr，PHP 的 error_log 文件不受控