日志文件丢失有以下几种可能性
1:日志正在记录的时候,手动修改了/var/log/messages
2: 存储设备异常,系统无法将日志写入到/var/log/messages中
3:突然有大量日志写入,并提示 begin to drop messages due to rate-limiting
1:日志正在记录的时候,手动修改了/var/log/messages
当系统正在正常运行,我们手动修改了/var/log/messages 中的内容会导致/var/log/messages 不再产生新的日志
2: 存储设备异常,系统无法将日志写入到/var/log/messages中
我们的日志是要写入到 /var/log/messages中的,/var/log/messages该文件保存在系统所在的存储设备上,如果存储设备出现异常,则不再产生新的日志
存储设备异常包括:硬盘故障,raid故障,硬盘线故障,背板故障等等
3:突然有大量日志写入,并提示 begin to drop messages due to rate-limiting
对于syslog保存的日志会有很多重要信息,但是一旦打印的日志数量超过设置的阈值,就会丢掉( begin to drop messages due to rate-limiting);可以通过以下两种方式可以解除这个限制:
1. 编辑/etc/systemd/journald.conf文件
#RateLimitInterval=30s
#RateLimitBurst=1000
改为(表示30s内打印不超过1000行,设置为0取消限制):
RateLimitInterval=0
RateLimitBurst=0
重启服务:systemctl restart systemd-journald.service
2. 编辑/etc/rsyslog.conf文件
将以下配置设置为0
$SystemLogRateLimitInterval 0
$SystemLogRateLimitBurst 0
重启服务:systemctl restart rsyslog.service