我知道 Ubuntu 会保存日志并轮换它们并覆盖旧syslog.gz文件。
是否可以恢复被覆盖的日志?也许可以使用特定的软件。
答案1
一旦文件被覆盖,它就会丢失。您可以做的是调整日志轮换设置以保存更多您感兴趣的日志。
对于由进程生成的日志文件syslogd(我在这里不谈论rsyslog或syslog-ng我没有使用),日志轮换由与sysklogd包一起安装的特定脚本完成);默认情况下,脚本是/etc/cron.daily/sysklogd。它使用命令savelog轮换 syslog 创建的所有日志。
如果需要保留更多存档日志,请更新如下行:
savelog -g adm -m 640 -u ${USER} -c 7 $LOG >/dev/null
-c 后面的数字是循环数,因此在这种情况下存档的日志数将为 7。(每天一个,因为脚本每天运行)。