Безопасно ли удалять файлы «.journal» в CentOS?

Question

Прежде всего, я Linux noob, я просто знаю основы.

У меня есть VPS, на котором работает сервер TeamSpeak 3, но у меня медленно заканчивается свободное место, как вы можете видеть здесь:

Сам сервер TeamSpeak 3 не делает слишком много логов ... Я думаю, что CentOS создает их. Итак, я немного искал и нашел этот каталог: /var/log/journal и каталог в нем. В нем есть эти файлы:

Вопрос в том, могу ли я просто безопасно удалить их? Это файлы, которые пожирают мое пространство?

Я обнаружил, что некоторые люди в Интернете говорят, что это совершенно безопасно, а другие говорят, что это небезопасно.

Answer 1

Вопрос в том, могу ли я просто безопасно удалить их? Это файлы, которые пожирают мое пространство?

Эти файлы просто файлы журнала. Таким образом, вы можете бросить их вручную, если хотите. Но это будет только временное исправление, так как эти конкретные файлы журналов создаются без ограничений.

Поэтому, если вы беспокоитесь о том, чтобы просто бросить файлы - и хотите долгосрочное исправление, чтобы вам больше не приходилось беспокоиться об этом, - не просто бросайте журналы вручную. Вместо этого вам следует настроить конфигурацию ротации журнала journald (Journal Daemon), чтобы она позволяла удалять текущие сохраненные журналы и предотвращать повторение этого.

Для этого просто отредактируйте основной файл конфигурации journald :

/etc/systemd/journald.conf

И установите значение SystemMaxUse ; это значение 100M - мой произвольный пример, поэтому настройте его на более высокий или низкий уровень, исходя из того, что, по вашему мнению, должно быть в журнале:

SystemMaxUse=100M

Сохраните файл, а затем проверьте количество использования диска журнала journald следующим образом:

sudo journalctl --disk-usage

После этого перезапустите systemd-journald.service следующим образом, чтобы действовал новый SystemMaxUse :

sudo systemctl restart systemd-journald.service

Затем проверьте использование диска журнала journald после перезапуска службы следующим образом:

sudo journalctl --disk-usage

Использование диска для них теперь должно быть уменьшено до значения SystemMaxUse .

Answer 2

Файлы .journal принадлежат systemd-journald, альтернативе традиционному «системному журналу », поэтому они в основном содержат различные служебные сообщения, и применяются те же правила:

Основной файл журнала архивируется (т. Е. "Поворачивается") каждые дни / каждые мегабайты, поэтому system.journal ¹ содержит последние сообщения (аналогично /var/log/syslog), а различные файлы system@*.journal являются журналом. архивы (аналогично /var/log/syslog.1,2,3,… и т. д.).

Если вы знаете, что вам не нужны старые сообщения журнала, можно безопасно заархивировать журналы (все файлы /var/log/journal/*/*@* ). Вы даже можете настроить автоматическую очистку в /etc/systemd/journald.conf , например, срок действия всех журналов старше 3 месяцев, используя MaxRetentionSec=3months 3 месяца.

Как и в случае с системным журналом, не рекомендуется удалять "текущий" файл system.journal , так как служба журнала все еще имеет его открытым, поэтому данные будут фактически оставаться на диске до следующей перезагрузки. (Однако последние версии журнала обнаруживают это и в любом случае работают правильно.)

Тем не менее, возможно, вам следует взглянуть на эти журналы (используя journalctl -b и различные другие параметры), если происходит что-то ненормальное. Если вы видите огромное количество попыток входа по SSH, может пригодиться fail2ban.

---

¹ В некоторых дистрибутивах сообщения системного журнала, генерируемые вашими собственными программами, для контроля доступа разделены на user-* а не системные. (Например, пользователь 1000 может читать сообщения из user-1000.journal но не обязательно system.journal .) Вращение и все остальное остаются прежними.

² Вы можете запустить ротацию журналов, используя systemctl kill -s SIGUSR2 systemd-journald .