我们知道日志很重要。维护日志的最佳做法是什么?
日志可能会变得很大 - 因此我们会进行日志轮换。我们当然不想丢失日志 - 因此我们会进行备份。
处理这些事情的最佳做法是什么?请提供意见。
答案1
Logrotate 是一款出色的日志轮转和压缩工具。它适用于大多数 Unix 版本。我发现 Ubuntu 上使用的默认设置是一个很好的起点。更改轮转频率时,您应该更改轮转计数。
只要日志还有用,就保留它们。如有必要,存档到非磁盘存储。对于业务系统,可能存在法律要求,要求保留和/或销毁日志数据。
根据另一个日志中的数据和数据可用性,数据可能保留一周、一个月、一个季度或一年。只有重复的数据会在一周后被删除。保留一年的每月备份将为您提供一年的大部分日志数据。
集中式日志服务器通常提供与日志保留不同的功能。将集中式日志与主机日志进行比较可以检测出日志文件被篡改的情况。
答案2
我认为 BillThor 给出了一个很好的答案。正如他所说,集中日志收集是个好主意。如果你把日志放入数据库,你就可以进行各种即时查询,这会非常有帮助。一个有用的开源日志管理工具是日志存储. 商业工具如斯普朗克起到同样的目的,如果你需要更正式的支持,它可能是合适的。
关于管理单个服务器上的日志,还需要考虑以下几点:日志轮换有两个组成部分:按计划轮换和根据文件大小轮换。日志轮换应同时考虑这两个因素。如果您只是每周轮换一个日志文件,而突然开始记录大量数据,那么您的磁盘空间就会用完。同样,如果您只是按文件大小轮换,那么如果日志量急剧增加,您可能会很快丢失旧日志。这是考虑集中日志管理的另一个很好的理由。