由于日志消息总是不断地追加，日志文件变得越来越大，不仅占用了有效的磁盘空间，而且庞大的文本文件的写入也会极大地降低系统的性能。如果一次性将旧的日志删除，则会给系统管理员查看以往的日志造成极大的不便，所以需要一个规则，定期地将日志切割轮替，保留一段时间内的日志信息，并将更旧的日志删除。logratate就负责这一工作。

logratate工具配合计划任务进行周期性的日志切割。

示例:关于logratate的系统计划任务。

示例:手动触发日志轮替，并显示轮替的过程信息。

/etc/logratate.conf配置文件定义了轮替的规则。

示例:查看logratate.conf配置文件信息。

主要参数详解:

weekly:默认每周对日志文件进行一次轮替。

rotate 4:保留4个日志文件。

create:创建新的日志文件。(www.daowen.com)

include/etc/logrotate.d:包括该目录下的文件。

/var/log/wtmp{:对wtmp日志文件单独定义。

monthly:每一个月进行一次轮替。

minsize 1M:日志大小超过1 MB时进行轮替。

create 0664 root utmp:新建日志文件的权限和用户及所属组。

rotate 1:只保留一个日志文件。

示例:查看子配置文件目录下syslog单独定义的轮替规则。

一般来说，系统进程的运作、系统故障和安全攻击都会留下日志信息，管理员可以通过查看和分析日志来找出系统异常原因，防范恶意攻击。查看和分析日志时，可以通过时间戳截断需要的时间段的日志进行分析，或者采用关键字过滤来提高效率。当需要分析的日志量非常大且需要统计日志数据时，如对Web服务器的访问日志进行分析，则需要借助专门的日志分析工具，通过图表直观地展示。

对于管理较多的Linux服务器来说，可以单独提供一台中央日志记录主机，将其他服务器产生的较重要的消息通过远程日志功能统一集中到中央日志记录主机上管理。这样做一方面方便系统管理员操作；另一方面，可以在一定程度上防止服务器被恶意入侵后，侵入者删除本地日志痕迹。