我想稍后检查是否有一种方法/软件可以轻松扫描日志以查找应该调查的问题²,如果存在,则扫描所有日志,包括旧日志。这就是为什么现在我想保留我的 Debian11/KDE 机器的日志,而不是仅仅删除它们或使用例如设置数据存储限制journalctl --vacuum-size=500M。
由于它们占用了小根分区上的大量磁盘空间,因此我想移动它们。
如何将日志文件移动到另一个分区(在另一个并不总是安装的驱动器上),而不导致正在进行的日志记录出现问题,并从那里读取这些日志?我希望在某个时候可以在 GUI 中执行上述操作,最好是在 GUI 中执行KSystemLog,它从日志日志已移动到的位置以及根分区上的当前位置读取并显示日志日志。
到目前为止,这两个选项似乎并不合适:
sudo cp /var/log/kern.log /media/..../kern.log
sudo truncate -s 0 /var/log/kern.log
上面的代码会将文件复制到其他地方,然后截断本地文件,但这似乎不是一个允许正确读取日志等的好方法。
service rsyslog stop
mv /var/log/audit /home/
ln -s /home/audit /var/log/audit
service rsyslog start
上面将创建一个符号链接,如果分区始终挂载,这可能是一个好方法。
(此问题不涉及的其他相关问题是如何启用无限日志记录,但同时防止例如许多重复消息导致日志文件大小膨胀,以及哪些默认配置的软件迄今为止已经可以智能扫描日志。)
² 例如,所有类型为“错误”的条目,或组合了许多类似日志条目的摘要,或最常见的日志条目,或已知为实际问题的消息,或入侵尝试,或所有与安全问题相关的条目, ...