Configurer logrotate pour gérer la rotation des logs sous Linux

logrotate archive, compresse et supprime automatiquement les anciens fichiers de log (/var/log/*.log). Tandis que journald gère le journal binaire de systemd, logrotate s’occupe des fichiers texte produits par les services qui écrivent directement dans /var/log/ (Nginx, Apache, MySQL, applications métier). Sans rotation, ces fichiers grossissent jusqu’à remplir le disque.

Ce que vous allez apprendre

• Comprendre l’architecture de logrotate (logrotate.conf + /etc/logrotate.d/)
• Lire et écrire une politique de rotation pour un service
• Utiliser les directives de compression, rétention et permissions
• Exécuter des scripts post-rotation (redémarrage de service)
• Tester une configuration sans risque et forcer une rotation manuelle
• Connaître la différence entre logrotate et journald

Dans quel contexte ?

logrotate est indispensable dès qu’un service écrit dans des fichiers texte :

• Nginx ou Apache produisent des access.log et error.log qui peuvent atteindre plusieurs Go par jour sur un site actif
• Une application métier écrit ses logs dans /var/log/monapp/ sans aucune rotation intégrée
• Le disque /var se remplit et déclenche des alertes — il faut compresser et purger les anciens logs
• La conformité exige de conserver les logs 90 jours mais pas indéfiniment

LFCS / RHCSA

La configuration de logrotate est un objectif couvert par les deux certifications. Vous devez savoir configurer une rotation adaptée à un service et vérifier son bon fonctionnement.

logrotate et journald — deux rôles complémentaires

Outil	Gère	Stockage	Configuration
journald	Journal binaire systemd	/var/log/journal/	journald.conf
logrotate	Fichiers texte classiques	/var/log/*.log	logrotate.conf + /etc/logrotate.d/

Glissez pour voir

Les deux coexistent sur un système moderne. journald capture les flux stdout/stderr des services systemd, les messages syslog et les logs du noyau. logrotate gère les fichiers texte que les services écrivent directement sur le disque.

Installation

logrotate est préinstallé sur la plupart des distributions. Sinon :

Debian/Ubuntu

sudo apt update && sudo apt install logrotate

RHEL/Fedora

sudo dnf install logrotate

# Vérifier la version
logrotate --version

logrotate 3.21.0

Architecture de la configuration

La configuration de logrotate repose sur deux niveaux :

Fichier	Rôle
/etc/logrotate.conf	Règles globales par défaut (fréquence, rétention)
/etc/logrotate.d/	Un fichier par service qui surcharge les règles globales

Glissez pour voir

Configuration globale

cat /etc/logrotate.conf

weekly
rotate 4
create
dateext
compress
include /etc/logrotate.d

Directive	Effet
weekly	Rotation hebdomadaire par défaut
rotate 4	Conserver 4 fichiers archivés
create	Créer un nouveau fichier après rotation
dateext	Suffixer les archives avec la date (-20260628)
compress	Compresser les archives (gzip)
include /etc/logrotate.d	Charger les configurations par service

Glissez pour voir

Configuration par service

Chaque service place son fichier dans /etc/logrotate.d/. Exemple pour Nginx :

cat /etc/logrotate.d/nginx

/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        if [ -d /run/systemd/system ]; then
            systemctl reload nginx > /dev/null 2>&1 || true
        fi
    endscript
}

Directives essentielles

Fréquence

Directive	Rotation
daily	Chaque jour
weekly	Chaque semaine
monthly	Chaque mois
size 100M	Quand le fichier dépasse 100 Mo

Glissez pour voir

Rétention

Directive	Effet
rotate N	Garder N archives
maxage N	Supprimer les archives de plus de N jours

Glissez pour voir

Compression

Directive	Effet
compress	Compresser les archives (gzip)
delaycompress	Reporter la compression d’un cycle (utile si un service écrit encore)
compresscmd bzip2	Utiliser bzip2 au lieu de gzip
nocompress	Désactiver la compression

Glissez pour voir

Création du nouveau fichier

create 0640 root adm

Crée le nouveau fichier avec les permissions 0640, propriétaire root, groupe adm. Le service peut continuer à écrire immédiatement.

Sécurité

Directive	Effet
missingok	Ne pas signaler d’erreur si le fichier n’existe pas
notifempty	Ne pas tourner un fichier vide
su root adm	Exécuter la rotation avec cet utilisateur/groupe (requis si le dossier a des permissions spéciales)

Glissez pour voir

Scripts pre et post-rotation

Les blocs prerotate et postrotate permettent d’exécuter des commandes avant et après la rotation :

/var/log/myapp/*.log {
    daily
    rotate 7
    compress
    missingok
    notifempty
    create 0640 myapp myapp
    sharedscripts
    postrotate
        systemctl reload myapp > /dev/null 2>&1 || true
    endscript
}

Bloc	Quand
prerotate ... endscript	Avant la rotation
postrotate ... endscript	Après la rotation
firstaction ... endscript	Avant la première rotation (une seule fois)
lastaction ... endscript	Après la dernière rotation (une seule fois)

Glissez pour voir

sharedscripts garantit que le script ne s’exécute qu’une seule fois, même si plusieurs fichiers correspondent au pattern.

Pourquoi recharger le service ?

Après rotation, l’ancien fichier a été renommé. Le service continue à écrire dans le descripteur de fichier de l’ancien fichier (renommé). Le reload (ou kill -USR1) force le service à rouvrir ses fichiers de log et à écrire dans le nouveau fichier.

Tester et exécuter

Tester sans appliquer (mode debug)

sudo logrotate -d /etc/logrotate.d/nginx

Le flag -d simule la rotation et affiche ce qui serait fait, sans modifier aucun fichier. Utilisez-le systématiquement avant de mettre en production une nouvelle configuration.

Forcer la rotation

# Forcer la rotation de tous les fichiers
sudo logrotate -f /etc/logrotate.conf

# Forcer la rotation d'un seul service
sudo logrotate -f /etc/logrotate.d/nginx

Mode verbose

sudo logrotate -v /etc/logrotate.conf

Le flag -v affiche les détails de chaque rotation effectuée.

Déclenchement automatique

Sur les distributions modernes, logrotate est déclenché par un timer systemd (et non plus par cron) :

systemctl cat logrotate.timer

[Timer]
OnCalendar=daily
AccuracySec=12h
Persistent=true

# Vérifier que le timer est actif
systemctl status logrotate.timer

cron ou timer ?

Sur les systèmes récents (Debian 12+, Ubuntu 22.04+, Fedora), logrotate utilise un timer systemd. Sur les systèmes plus anciens, il reste déclenché par un script dans /etc/cron.daily/logrotate.

Écrire une politique complète

Voici un exemple de politique pour une application métier :

1. Créer le fichier de configuration

   sudo nano /etc/logrotate.d/monapp

2. Écrire la politique

   /var/log/monapp/*.log {
       daily
       rotate 30
       compress
       delaycompress
       missingok
       notifempty
       create 0640 monapp monapp
       su monapp monapp
       sharedscripts
       postrotate
           systemctl reload monapp > /dev/null 2>&1 || true
       endscript
   }

3. Tester la configuration

   sudo logrotate -d /etc/logrotate.d/monapp

   Vérification : la sortie doit afficher les fichiers qui seraient tournés, sans erreur de syntaxe.

4. Forcer une première rotation pour valider

   sudo logrotate -f /etc/logrotate.d/monapp
   ls -la /var/log/monapp/

   Vérification : un fichier .1.gz ou daté doit apparaître.

Dépannage

Symptôme	Cause probable	Solution
Logs jamais tournés	Timer désactivé	systemctl enable --now logrotate.timer
error: skipping ... not readable	Permissions insuffisantes	Ajouter su root adm ou su root root
Logs tournés mais service écrit dans l’ancien	Pas de postrotate	Ajouter un bloc postrotate avec systemctl reload
error: ... duplicate log entry	Même fichier dans 2 configs	Vérifier /etc/logrotate.d/ pour les doublons
Archives non compressées	compress absent	Ajouter compress dans la configuration
Fichier .1 mais pas .1.gz	delaycompress actif	Normal — la compression s’applique au cycle suivant

Glissez pour voir

# Diagnostic rapide
systemctl status logrotate.timer          # Timer actif ?
sudo logrotate -d /etc/logrotate.conf     # Erreurs de config ?
ls -la /var/log/nginx/                     # Rotation effective ?
journalctl -u logrotate.service           # Dernière exécution ?

Bonnes pratiques

• Toujours tester avec -d avant de modifier une politique en production
• Utiliser delaycompress pour les services qui peuvent encore écrire dans l’ancien fichier pendant quelques secondes
• Ajouter sharedscripts + postrotate pour recharger le service après rotation
• Définir des permissions restrictives avec create — les logs contiennent souvent des informations sensibles (IP, erreurs, chemins)
• Configurer maxage en complément de rotate — supprimer les archives trop anciennes même si le compteur n’est pas atteint
• Séparer les configurations dans /etc/logrotate.d/ — un fichier par service, jamais tout dans logrotate.conf
• Surveiller l’espace disque — logrotate ne résout pas le problème si les logs croissent plus vite que la rotation

À retenir

• logrotate gère les fichiers de log texte — journald gère le journal binaire de systemd. Les deux sont complémentaires
• La configuration globale est dans /etc/logrotate.conf, les configurations par service dans /etc/logrotate.d/
• Les directives clés : daily/weekly, rotate N, compress, delaycompress, create, postrotate
• logrotate -d simule la rotation sans rien modifier — à utiliser avant chaque changement
• logrotate -f force la rotation — utile pour valider une nouvelle configuration
• Le bloc postrotate recharge le service pour qu’il écrive dans le nouveau fichier
• Sur les systèmes modernes, logrotate est déclenché par un timer systemd (logrotate.timer), plus par cron

Prochaines étapes

Journaux système avec journalctl Consulter et filtrer le journal binaire de systemd

Gestion des services avec systemd Démarrer, diagnostiquer et durcir vos services

Planifier avec cron Automatiser les tâches récurrentes sous Linux

Timers systemd L'alternative moderne à cron pour les tâches planifiées

×

📖 Voir la documentation →