Comment puis-je libérer de l'espace à partir d'un dossier massif de 39,5 Go / var / log /?

Je ne supprimerais pas tout le dossier/var/log - cela casserait des choses.

Vous pouvez simplement détruire les journaux comme le suggère @jrg - mais à moins que les éléments écrits dans les fichiers journaux (principalement syslogd) ne redémarrent, ils ne vous permettront pas de récupérer de l'espace disque, car les fichiers continueront d'exister dans un état supprimé Les poignées de fichiers sont fermées.

Il serait préférable de savoir pourquoi les journaux ne sont pas soumis à une rotation (ni à une suppression ultérieure). logrotate est censé le faire pour vous, et je soupçonne qu'il ne se déroule pas chaque nuit comme il se doit.

La première chose que je ferais serait:

Sudo /etc/cron.daily/logrotate

Ceci devrait faire pivoter les fichiers journaux (donc kern.log devient kern.log.1); et vous pouvez ensuite supprimer kern.log.1, etc. pour libérer de l'espace disque.

Si tout va bien jusqu'à présent, la question suivante est de savoir pourquoi cela ne se produit pas automatiquement. Si vous éteignez votre ordinateur la nuit, assurez-vous d’avoir installé anacron .

Vous devriez regarder les journaux et voir ce qui leur est écrit. Je suppose que c'est ufw/iptables (vous enregistrez tout le trafic réseau).

ufw - lorsque vous enregistrez tous les paquets, vous obtenez des journaux volumineux. Si vous ne souhaitez pas consulter les journaux, désactivez la journalisation. Si vous souhaitez surveiller votre réseau, utilisez snort. Snort va filtrer parmi les milliers de paquets que vous recevez et vous alerter du trafic potentiellement problématique.

Je suppose que c'est ufw qui est le coupable et que vous obtenez un journal volumineux dans kern.log, car vous enregistrez également les paquets.

Parfois, un problème de noyau ou de matériel remplit les journaux. Dans ce cas, il est préférable de résoudre le problème ou de créer un bogue, vous devrez consulter les journaux pour le faire.

Si vous ne pouvez pas résoudre le problème, vous pouvez configurer syslog pour ne pas remplir vos journaux.

Voir http://manpages.ubuntu.com/manpages/precise/man5/syslog.conf.5.html

Si vous fournissez plus de détails sur le problème, nous pouvons vous aider à mieux le déboguer.

Supprimer /var/log est probablement une mauvaise idée, mais la suppression des fichiers journaux individuels devrait être OK.

Sur mon ordinateur portable, avec un disque SSD de petite taille, j'ai configuré /var/log (et /tmp et /var/tmp) en tant que tmpfs points de montage, en ajoutant les lignes suivantes à /etc/fstab:

temp        /tmp        tmpfs   rw,mode=1777    0   0
vartmp      /var/tmp    tmpfs   rw,mode=1777    0   0
varlog      /var/log    tmpfs   rw,mode=1777    0   0

Cela signifie que rien dans ces répertoires survit à un redémarrage. Autant que je sache, cette configuration fonctionne parfaitement. Bien sûr, je ne peux plus consulter les anciens journaux pour diagnostiquer les problèmes éventuels, mais j’estime qu’il s’agit d’un juste compromis pour une utilisation réduite du disque.

Le seul problème que j'ai rencontré est que certains programmes (notamment APT) veulent écrire leurs journaux dans des sous-répertoires de /var/log et ne sont pas assez intelligents pour créer ces répertoires s'ils n'existent pas. L'ajout de la ligne mkdir /var/log/apt dans /etc/rc.local a résolu ce problème particulier pour moi; En fonction du logiciel que vous avez installé, vous devrez peut-être créer d'autres répertoires.

(Une autre possibilité consisterait à créer une archive tar contenant uniquement les répertoires et à la décompresser dans /var/log au démarrage pour créer tous les répertoires nécessaires et définir leurs autorisations en une seule fois.)