Назад | Перейти на главную страницу

Преимущества ротации журналов

Я много лет использую логротацию и никогда не думал, что это проблема, пока не столкнулся с вопросом о stackoverflow (https://stackoverflow.com/questions/1508734/disable-java-log-rotation/) где кто-то хочет отключить ротацию логов.

Для меня с опытом очистки сервера сборки и даже производственных серверов вручную, потому что журналы не вращаются, а диски заканчиваются, и внезапно машины останавливаются, что все кажется сумасшедшим, но мне пришло в голову, что, возможно, это не так очевидно после все.

Итак, каковы преимущества ротации журналов? И каковы недостатки (например, возможно, труднее отлаживать / анализировать)? Какие инструменты вы считаете полезными для работы с чередующимися файлами журнала? Я полагаю, Splunk, но что еще?

Я думаю, что преимущества ротации журналов очевидны:

  1. Вы получаете легко управляемые файлы журнала меньшего размера вместо одного огромного файла журнала.
  2. У вас не закончится внезапно свободное место на диске, если вы правильно настроите его в соответствии с вашими пределами емкости. (size вариант)
  3. Старые файлы журналов можно сжать, чтобы файлы журналов стали еще меньше по размеру и, таким образом, сэкономили больше места на диске. (compress вариант).
  4. Вы можете вращать файлы определенным образом / в определенное время. Например, каждый файл журнала содержит только информацию, относящуюся к определенному дню. Это упростит поиск, если вы знаете дату. Если вы не знаете дату, вы можете просто найти все файлы или их часть. (daily, monthly, и т.д).
  5. Вы автоматически избавляетесь от очень старых файлов. Например, вы можете хранить не более 30 файлов. (rotate 30).
  6. Вы можете добавить желаемое расширение, например дату ротации. (dateext).
  7. Вы можете выполнять определенные сценарии до / после поворота. (prerotate, postrotate).

РЕДАКТИРОВАТЬ: Я добавил больше элементов в список и включил параметры, если это применимо. Больше подробностей, man logrotate можно проконсультироваться.

Преимущества:

  • если файлы журнала велики, вы можете сжать или удалить старые данные, чтобы избежать переполнения диска
  • если вы знаете, когда что-то произошло, это будет быстрее grep дневного файла журнала, чем одного постоянного файла журнала

Недостатки:

  • если вы хотите обработать всю историю, вам нужно будет указать несколько имен файлов
  • некоторые программы не поддерживают вращение, и если вы вращаете его с помощью такой утилиты, как logrotate, есть некоторые крайние случаи, на которые следует обратить внимание (например, вам нужно использовать опцию усечения, что, как я думаю, означает, что вы рискуете потерять крошечный объем данных )

Если подумать, для чего вы используете журналы, преимущества станут еще более очевидными. Оставив в стороне очевидные моменты, о которых говорили другие и вы. Для меня большим преимуществом является то, что я могу контролировать, как журналы загружаются в автономные инструменты анализа.

У меня есть набор собственных скриптов, которые я использую для анализа журналов, но, AFAIK, splunk и различные инструменты анализа веб-журналов - единственные стандартные инструменты, доступные с полки. (не считая анализаторов файлов журнала в реальном времени, таких как fail2ban).