我的LINUX下的日志文件不自动备份

sangyu

我在一台LINUX服务器上安装了iptables软件，为了能记录下进出的访问日志，我在IPTABLES配置文件中加了如下一句：
iptables -A FORWARD -p tcp -j LOG --log-prefix "tcp_packets" --log-level inf

为了将访问日志存入/var/log/iptables中,我修改syslog.conf，加入：
kern.=info                                              /var/log/iptables
并将原来的*.info;mail.none;authpriv.none;cron.none               /var/log/messages改为mail.none;authpriv.none;cron.none               /var/log/messages

最后，为了能让iptables到100M后自动备份并创建新文件，在/etc/logrotate.d/下创建iptables文件，内容如下：
/var/log/iptables {
#    daily
#    notifempty
    rotate 10
    size=100M
    missingok
    nocompress
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2>; /dev/null` 2>; /dev/null || true
    endscript
}

/etc/logrotate.conf文件内容保存不变。

做好后发现，当iptables文件达到100M后日志文件并不重新创建。这是怎么回事，还有什么地方要修改吗？请各位指点一下，谢谢！

sangyu

有做过的吗？能帮看一下吗？

零二年的夏天

logrotate应该是由cron来发起的轮寻，你看看是否这方面的问题。

sangyu

是由cron发起的，但logrotate中有SIZE的设置，如果按logratate的配置说明，应该是满一天或SIZE达到我指定的数后就应该备份呀。但现在达到我指定的数后却不自动备份，还是往大了的增长。如果我把让logratate定时执行（比如一天执行3次），会出现到不了指定大小也备份并创建新文件。我觉得原因主要出在logrotate上，但如何配置logrotate可以达到我的目的（我的目的是每天备份一次或者满100M后就备份）

零二年的夏天

每天备份只要每天cron不可以么？

sangyu

现在是每天备份（每天早上4点2分），但这样产生的日志文件太大了，比如昨天的日志文件是14个G。如果要打开就太难了。另外不管是logrotate.conf文件还是我定义的iptables文件，都没有指定在早上4点2分做备分呀。这个4点2分做备份是由于cron的原因吧？
另外，我每天产生的这种流量日志怎么这么大呀。能做到只要NAT出去的吗？因为我发现日志中不但有内部NAT出去的，还有外部返回内部的。（这个我已经做到了，目前只记录了内部NAT到外部的了）

零二年的夏天

你可以考虑使用cron来执行logrotate，但是是每x小时。

iptables的日志没做过，不过记录什么应该都是你在脚本中规定的吧。

sangyu

谢谢！
这样是倒是可以在规定的时间执行一次，但这样那logrotate中规定的size就没有什么用了。

toorain

logrotate 设置过后是无法自己运行的，还必须设置cron来执行他，详细的设置如下：用crontab -e
0 * * * * root /etc/cron.hourly/logrotate
其中/etc/cron.hourly/logroate文件中内容为/usr/sbin/logrotate /etc/logrotate.conf
logrotate.conf文件内容为：
/tmp/ramdisk/kern_info.log{
daily
rotate 4
size=10M
postrotate
   service syslog restart
endscript
}
刚开始，我也是只能手动运行logrotate，弄死也不能让logrotate自动运行，后来查了半天才发觉应该要cron来定时运行他。

toorain

上面楼主提到的问题确实也存在，但我碰到的是logrotate定义的日志文件大小到达以后，但是轮循的时间未到，那么日志文件将继续增大，但是当轮循时间到后，日志文件将被备份。不信可以试试，按上面我定义的logrotate.conf中定义一个日志文件大小100k，其他不变，他未到100k大的时候就执行logrotate命令，可以看到日志文件不会备份。