银河麒麟系统磁盘满如何快速清理？

一、问题背景与现象分析

在银河麒麟操作系统（Kylin OS）的长期运行过程中，系统日志文件持续写入 /var/log 目录，若未配置合理的日志轮转与清理策略，极易导致磁盘空间被快速耗尽。典型表现为：df -h 显示根分区或 /var 分区使用率接近100%，系统响应变慢，部分服务无法启动或写入失败。

尤其在生产环境中，/var/log/journal 下由 systemd-journald 生成的二进制日志可积累至数十GB，成为磁盘占用的“大户”。运维人员常因缺乏对日志机制的理解而误删关键日志或操作不当引发系统异常。

二、诊断流程：定位高占用目录

1. 执行命令查看整体磁盘使用情况：
   df -h
2. 进入高占用挂载点（如 / 或 /var），逐层统计子目录大小：
   du -sh /* | sort -hr
3. 重点检查 /var/log 目录：
   du -sh /var/log/* | sort -hr
4. 识别大体积文件，例如：
   
   • /var/log/journal/... —— systemd 日志
   • /var/log/messages, secure, syslog 等文本日志
   • 应用日志如 Nginx、MySQL 等产生的日志文件

三、核心解决方案：基于 journalctl 的安全清理

# 示例：清理超过一周的日志
$ sudo journalctl --vacuum-time=7d
Vacuuming done, freed 2.3G of archived journals from /var/log/journal/.

四、手动清理非 systemd 日志文件

对于传统 syslog 生成的文本日志（如 rsyslog 输出），可通过以下方式处理：

• 清空特定日志内容而不删除文件（避免破坏文件句柄）：
  sudo truncate -s 0 /var/log/messages
• 删除历史归档日志（以 .gz 或数字后缀结尾）：
  sudo rm /var/log/*.gz /var/log/*.[0-9]
• 使用 logrotate 验证配置是否生效：
  sudo logrotate -d /etc/logrotate.conf

五、自动化与预防机制设计

建议部署定时任务定期维护日志：

# 添加到 crontab -e
0 2 * * * /usr/bin/journalctl --vacuum-time=7d > /dev/null 2>&1
0 3 * * 0 find /var/log -name "*.gz" -mtime +30 -delete

六、权限控制与风险规避策略

所有操作需使用 sudo 提升权限，严禁直接 rm -rf /var/log/*。应遵循以下原则：

1. 清理前备份关键日志用于审计追溯
2. 确认服务正在运行且未处于故障排查阶段
3. 修改 /etc/systemd/journald.conf 中的 SystemMaxUse 参数进行长期容量控制
4. 启用持久化日志存储：Storage=persistent
5. 设置日志最大保留时间：MaxFileSec=1month
6. 限制单个日志文件大小：MaxFileSize=100M
7. 定期审查 /etc/logrotate.d/ 下各服务配置
8. 使用 ACL 控制非 root 用户访问日志权限
9. 集成 Zabbix 或 Prometheus 实现日志增长趋势监控
10. 建立应急响应预案，包含磁盘满时的快速处置流程