/var/log 占满磁盘的主因是 journalctl 日志无限增长、logrotate 失效或应用日志未切割;需用 journalctl --vacuum-size 或配置 journald.conf 限制,检查 logrotate 权限与规则,并清理 apt、unattended-upgrades 等隐藏日志目录。
为什么 /var/log 突然占满磁盘?
根本原因不是日志“太多”,而是默认配置下 logrotate 未启用或轮转策略失效,导致 journalctl 日志无限增长、旧压缩包残留、或应用(如 nginx、docker)未配置日志切割。直接 rm -rf /var/log/*.log 会中断正在写入的日志,甚至让服务崩溃。
journalctl 是日志膨胀的头号元凶
systemd-journald 默认不自动清理,尤其在桌面或测试环境,/var/log/journal/ 可能积累数 GB 二进制日志。清理前先确认是否需要保留:
- 查当前占用:
journalctl --disk-usage - 清空所有归档(重启后仍会记录新日志):
journalctl --vacuum-size=500M(保留最新 500MB) - 或按时间清理:
journalctl --vacuum-time=2weeks - 永久限制:编辑
/etc/systemd/journald.conf,取消注释并修改SystemMaxUse=500M和MaxRetentionSec=4week,然后执行systemctl restart systemd-journald
logrotate 配置失效比想象中常见
/etc/logrotate.d/ 下的规则可能被注释、路径写错、或权限不足,导致 syslog、auth.log 等长期不轮转。检查方法:
- 手动触发轮转并看输出:
logrotate -d /etc/logrotate.conf(-d是 debug 模式,不实际删除) - 重点看是否报
error: skipping "/var/log/syslog" because parent directory has insecure permissions—— 这意味着/var/log权限不是755或属主不是root - 常见修复:
chmod 755 /var/log、chown root:root /var/log - 若某服务(如
docker)日志暴增,需单独配/etc/logrotate.d/docker,指定/var/lib/docker/containers/*/*-json.log并加copytruncate
别忽略那些“隐藏大块头”
除了标准日志,这些目录常被遗漏:
-
/var/log/apt/:系统升级留下的history.log和term.log,可安全清空(truncate -s 0 /var/log/apt/*.log) -
/var/log/unattended-upgrades/:自动更新日志,无压缩,删掉旧文件即可 -
/var/log/alternatives.log:极少有用,直接rm - 第三方软件如
mysql、postgresql的错误日志默认不走logrotate,得查其配置里的log_error或logging_collector路径
清理后务必运行 df -h /var 验证,再用 lsof +L1 查是否有进程还在写已删除的文件(这类“幽灵占用”需重启对应服务才能真正释放空间)。
