logrotate 轮转失败的 postrotate 脚本权限与 /etc/logrotate.d 语法检查

postrotate脚本执行失败主因是权限不足、用户上下文差异及环境变量缺失；需确保脚本可执行、使用绝对路径、显式shebang，并用logrotate -d调试语法与执行流程。

postrotate 脚本执行失败：权限和用户上下文是关键

logrotate 默认以 root 身份运行，但 postrotate 脚本里的命令未必能成功执行——常见原因是脚本本身没有可执行权限，或内部调用的命令（如 systemctl reload、kill -USR1）依赖非 root 用户环境变量、socket 权限或 $PATH 不一致。

• postrotate 脚本文件必须有 x 权限（chmod +x /path/to/script），否则 logrotate 会静默跳过执行
• 脚本内避免依赖 shell 别名、bash 扩展语法（如 [[），应显式使用 /bin/sh 或 /bin/bash shebang，并设为 #!/bin/sh 以兼容最小环境
• 若需操作 systemd 服务，建议用 systemctl --no-block reload service-name，避免因服务锁或 dbus session 导致阻塞；不要用 sudo —— logrotate 已是 root，加 sudo 反而可能因缺少 TARGET 环境变量失败
• 调试时可在脚本开头追加：logger -t "logrotate-test" "postrotate running as $(id -u):$(id -g) PATH=$PATH"，再查 /var/log/messages 确认实际执行上下文

/etc/logrotate.d/ 下配置语法错误难发现？用 logrotate -d 实测

logrotate 不校验 /etc/logrotate.d/ 目录下文件语法是否合法，直到真正轮转时才报错（且常被忽略）。最可靠的方式是手动触发调试模式，它会解析所有配置但不实际重命名或删除日志。

• 运行 logrotate -d /etc/logrotate.conf：输出详细解析过程，遇到语法错误（如缺失 {、endscript 错位、未闭合引号）会明确提示行号和错误类型
• 注意 -d 模式仍会尝试执行 prerotate/postrotate，所以调试前确保脚本内无破坏性命令（或临时注释掉）
• 常见语法陷阱：sharedscripts 必须与 prerotate/postrotate 成对出现；create 后不能跟空格再跟权限数字（应写成 create 644 user group，而非 create 644 user group）
• 多个配置文件间全局设置（如 weekly、rotate）不会继承，每个文件需显式声明或依赖 /etc/logrotate.conf 中的 defaults

logrotate 报 “error: error running non-shared postrotate script” 怎么定位？

这个错误只说明 postrotate 脚本退出码非 0，但 logrotate 不输出 stderr。直接执行脚本往往无法复现——因为缺少 logrotate 设置的环境变量（如 LOGROTATE_FILE、LOGROTATE_PREPARE）和当前工作目录。

WPS AI

金山办公发布的AI办公应用，提供智能文档写作、阅读理解和问答、智能人机交互的能力。

下载

• 先确认脚本是否被正确加载：用 logrotate -d 输出里搜索 “running postrotate” 看是否出现在目标日志块中
• 在脚本开头加入 set -x 并重定向输出：exec > /tmp/postrotate-debug.log 2>&1，再手动触发一次轮转（logrotate -f /etc/logrotate.d/yourconf）
• 检查脚本中是否有路径硬编码（如 /usr/local/bin/reload-thing），而该路径不在 root 的 $PATH 中；建议全部使用绝对路径
• 如果脚本调用了 Python 或 Perl 脚本，确认其 shebang 指向的是系统可用解释器（如 #!/usr/bin/env python3 在某些 minimal 系统中会失败，应改用 #!/usr/bin/python3）

为什么改完配置后 logrotate 还不生效？时间窗口和状态文件很关键

logrotate 是否执行某轮转，不仅取决于配置，还受上次执行时间戳和状态文件 /var/lib/logrotate.status 控制。即使配置正确，也可能因状态未更新或时间未到而跳过。

• 查看状态文件：cat /var/lib/logrotate.status | grep your-log-pattern，确认最后轮转日期是否合理；手动修改该文件中的日期可强制下次触发（仅用于测试）
• crond 调用的 logrotate 通常每天一次（/etc/cron.daily/logrotate），但如果你用 logrotate -f 测试，它会忽略时间条件（daily/weekly），强制执行——这点常被忽略
• ifempty 和 notifempty 行为容易误判：前者在日志为空时也轮转，后者则跳过；生产环境建议显式写 notifempty 避免意外清空
• 日志路径含通配符（如 /var/log/app/*.log）时，logrotate 按字典序处理每个匹配文件，但 sharedscripts 只执行一次——这点在多实例部署中极易出错

最麻烦的其实是状态文件和权限的组合问题：脚本有 x 权限、语法无错、手动执行成功，但 logrotate 就是不调用 postrotate——八成是 /var/lib/logrotate.status 时间戳异常，或者配置文件被放在了 /etc/logrotate.d/ 但没被 include 主配置读到。