Systemd : la rotation des logs

29 juillet 2024

La loi LCEN de 2004 nous a contraints à une durée de conservation des logs d’une année, pour les serveurs accessibles à partir du domaine public. Habituellement prise en charge par le service Rsyslog et le composant logiciel logrotate, la rotation des logs système se configurait au travers du fichier /etc/logrotate.conf et des fichiers contenus dans le dossier /etc/logrotate.d.

L’arrivée de Systemd en remplacement de SysV utilisé dans le monde UNIX et transposé à Linux a changé la donne. La gestion des logs système sous Linux est désormais prise en charge par le service systemd-journald.

Configuration de la rotation

Pour satisfaire à nos obligations légales, vous devez tout d’abord modifier les directives contenues dans le fichier /etc/systemd/journald.conf. J’ai commenté toutes les directives à l’exception de quatre d’entre elles : Storage, Compress, MaxRetentionSec, MaxFileSec.

[Journal] Storage=persistant Compress=yes MaxRetentionSec=1year MaxFileSec=1week

Une fois le fichier de configuration modifié, vous devez relancer votre service pour que les nouveaux paramètres soient pris en compte.

systemctl restart systemd-journald

Forcer la rotation

Vous pouvez forcer la rotation des logs à l’aide de la commande journalctl.

journalctl --rotate

Nettoyage des logs

Le nettoyage des logs se fait à l’aide de la commande journalctl et des paramètres vacuum-size, vacuum-time, vacuum-files. Du fait des paramètres MaxRetentionSec et MaxFileSec définis respectivement sur une année pour l’ensemble du stockage et une semaine pour chaque fichier, je peux exécuter les commandes suivantes sans risque de perte de données :

journalctl --vacuum-time=1years journalctl --vacuum-files=52

Deux critiques

La taille minimale des fichiers même compressés est par défaut fixé à 8 Mo. J’avais cru pouvoir la régler dans les fichiers /lib/systemd/system/systemd-journald.socket et /lib/systemd/system/systemd-journald@.socket au travers des directives ReceiveBuffer et SendBuffer. Après avoir exploré la documentation, je ne sais pas vous dire si elle est réglable. Je suis preneur de vos informations sur le sujet.

Le format du fichier des fichiers system.journal stockés dans un dossier du répertoire /var/log/journal pourtant compressé au format zstd empêche d’utiliser zstdcat, zstdgrep, zstdless et zstdmt, du fait de métadonnées présentes dans l’entête des fichiers. Les données des fichiers ne peuvent être lues que par la commande journalctl.