Linux logrotate 日志轮转实战：按天切分、压缩保留和配置检查

线上服务跑久了，日志目录最容易悄悄变大。访问日志、错误日志、业务日志如果只追加不清理，最后可能把磁盘写满，导致服务写文件失败、部署失败，甚至数据库也受到影响。

Linux 上常用 logrotate 做日志轮转。它可以按天、按大小切分日志，把旧日志压缩起来，只保留最近几份，并在轮转后创建新的日志文件。本文用 Nginx 访问日志做例子，讲清配置怎么写、怎么检查、常见坑怎么避开。

适合人群

适合维护 Linux 服务、Nginx、后台应用或定时任务日志的开发者和运维同学。你需要知道日志文件路径，以及服务写日志使用的用户。

目录

• 为什么需要日志轮转
• 写一份 logrotate 配置
• 理解轮转后的文件变化
• 检查配置是否会生效
• 常见坑位和上线建议

为什么需要日志轮转

假设 /var/log/nginx/access.log 每天增长几百 MB。如果不处理，几周后日志目录就会占用大量磁盘空间。手动删除虽然直接，但风险很高：删错文件、服务还持有旧文件句柄、排查历史问题时找不到日志，都会带来麻烦。

更稳的做法是让 logrotate 定期处理：

• 当前日志达到时间或大小条件后改名归档。
• 旧日志压缩成 .gz，减少磁盘占用。
• 只保留指定份数，超过的自动清理。
• 创建新的空日志文件，服务继续写入。

下面这张图展示一个典型变化：日志持续增长，轮转后生成按日期归档的压缩文件，新日志从空文件继续写。

写一份 logrotate 配置

通常可以把自定义规则放到 /etc/logrotate.d/ 目录下。下面是一份针对 Nginx 访问日志的示例：

/var/log/nginx/access.log {
    daily
    rotate 14
    compress
    delaycompress
    missingok
    notifempty
    create 0640 nginx adm
}

几个关键项解释如下：

• daily：按天检查是否需要轮转。
• rotate 14：保留 14 份历史日志。
• compress：旧日志压缩，节省空间。
• delaycompress：最新一份归档日志先不压缩，方便服务短时间内继续读取。
• missingok：日志不存在时不报错中断。
• notifempty：空日志不轮转。
• create 0640 nginx adm：轮转后创建新日志，并设置权限、用户和组。

实际项目里，create 的用户和组要根据服务进程来定。如果服务不是 nginx 用户写日志，就要换成真实用户。

理解轮转后的文件变化

轮转前目录可能只有一个不断增长的文件：

access.log

运行一段时间后，目录会变成类似这样：

access.log
access.log.1
access.log.2.gz
access.log.3.gz

其中 access.log 是服务继续写的新文件，access.log.1 是最近一次归档，较早的归档会被压缩。超过 rotate 指定数量后，更老的文件会被清理。

检查配置是否会生效

修改配置后，不建议直接等第二天才发现写错。可以先用调试模式查看规则会做什么：

logrotate -d /etc/logrotate.d/nginx-access

-d 是调试模式，只打印判断过程，不会真正改动日志文件。你可以重点看三类信息：是否识别到目标日志、是否满足轮转条件、准备创建或压缩哪些文件。

如果要确认文件大小，可以配合查看日志目录：

ls -lh /var/log/nginx/access.log*

这张图展示检查路径：先读配置，再进入调试模式，确认目标日志、轮转条件和输出文件，最后再观察目录变化。

常见坑位和上线建议

第一，日志文件用户不对。 新文件创建后，如果服务进程没有写权限，日志会中断。上线前一定要确认 create 后面的用户和组。

第二，只归档不通知服务。 有些服务会长期持有文件句柄，即使文件名被改了，它仍然写旧文件。遇到这种服务，需要配合服务自身的重新打开日志机制。

第三，保留份数过多。 rotate 设置太大，压缩后也会占空间。建议根据排查周期和磁盘预算来定，比如保留 7 天、14 天或 30 天。

第四，多个规则处理同一个日志。 同一个日志路径不要出现在多份配置里，否则轮转行为会变得难以判断。

总结

logrotate 的核心价值是把“日志会无限增长”变成“按规则归档、压缩和清理”。日常配置时抓住几个关键点：轮转频率、保留份数、压缩策略、新文件权限、调试检查。

推荐每次新增日志轮转规则后，都先用调试模式看一遍，再观察实际目录变化。这样能把磁盘写满、权限错误和日志丢失的风险提前消掉。