许多用户在使用 VPS、独立服务器或云主机时，明明安装的软件不多，系统也不算复杂，但磁盘容量却莫名其妙被占满，甚至导致 SSH 无法登录、服务崩溃、网站 500 错误、MySQL 启动失败。这类情况最核心的原因往往指向 /var/log 目录，因为该目录存放系统日志、服务日志、安全日志以及各类进程产生的文件，一旦出现异常累积，就会迅速占用磁盘空间。要彻底解决 /var/log 占满的问题，必须理解其产生机制、判定来源、采用正确清理方法并建立长期的日志轮转策略，才能确保服务器稳定运行。

　　当服务器中的应用频繁写入日志时，/var/log 会不断增长。大多数 Linux 发行版通过 logrotate 对日志进行轮转、压缩与清理，例如 /var/log/messages、/var/log/secure、/var/log/cron 等都由系统自动管理。然而，一旦某个服务写入异常、轮转配置失效、日志级别过高，或者磁盘空间不足导致轮转失败，就会出现日志文件不断累积的情况，从而让 /var/log 的占用一路攀升。尤其是在 Web 服务、数据库、Docker、Nginx、PHP-FPM、Fail2ban 等活跃进程运行的环境中，日志的增长速度可能超出预期，如果不及时处理，问题就会变得严重。

　　排查 /var/log 占用过高的关键第一步，就是找出空间被哪些日志文件占据。你可以使用以下命令查看目录内最大的文件：

du -sh /var/log/*

　　如果要深度查找，可使用：

find /var/log -type f -exec du -sh {} \; | sort -hr | head

　　这样可以迅速定位最占空间的日志。常见的“元凶”包括 /var/log/messages、/var/log/syslog、/var/log/secure、/var/log/httpd/access.log、/var/log/nginx/error.log、/var/log/mysql/error.log，以及 Docker 的容器日志文件 /var/lib/docker/containers 中产生的 JSON 日志。此外，系统内核日志、守护进程错误、权限问题导致的重复警告、服务死循环写入等都会导致日志迅速膨胀。定位出占用空间最大的日志文件后，才能开展下一步的针对性处理。

　　如果日志文件实际已经达到数 GB 或数十 GB，清理时需要谨慎。最安全的方式并不是直接删除文件，而是清空内容，保留文件本身，以确保服务不会因缺少文件而报错。清空方式如下：

> /var/log/messages
> /var/log/secure
> /var/log/syslog

　　也可以使用专门命令：

truncate -s 0 /var/log/filename.log

　　如果服务正在写入日志，直接删除文件可能会造成句柄占用，导致磁盘空间并没有真正释放。你可以通过以下命令查看哪些进程正在写入已删除文件：

lsof | grep deleted

　　在这种情况下，必须重启对应进程才会释放磁盘空间。例如重启 Nginx、PHP-FPM、MySQL 或 Docker 容器，确保日志重新创建。

　　但仅仅清理日志并不能彻底解决问题，更关键是找出为什么日志会异常增长。很多用户发现 /var/log 是因系统错误导致日志疯狂刷写。例如 kernel 报硬件错误、SSD 块损坏、文件系统损坏、分区错误、驱动加载失败、网络服务反复重启等，这些问题会在 messages 或 dmesg 中不断被写入，导致日志迅速膨胀。如果是系统级错误，必须进一步查看：

tail -f /var/log/messages
dmesg | tail

　　如果日志中出现大量重复报错，必须修复根源，清理日志只能治标不治本。另一类常见情况是 SSH 暴力破解导致 /var/log/secure 被写爆，可以通过以下方式缓解：

systemctl start fail2ban

　　或调整 SSH 端口、禁用密码登录，从而减少安全日志写入。

　　Web 服务日志过大是另一个主要原因。如果 Nginx、Apache 或 PHP 报错频繁，错误日志会快速变得庞大。例如 PHP 报 undefined error、MySQL 连接失败等都会导致 error.log 不断膨胀。你应查看日志内容，确认是否因为程序 bug、插件报错、网站攻击、访问量过高、配置错误等导致大量写入。修复应用程序问题后，再清理日志才是正确做法。

　　还有一种容易被忽略的情况是 Docker 容器日志无限增长。Docker 默认使用 json-file 驱动记录容器输出，如果容器产生大量日志，例如调试打印、访问日志、大量警告，日志文件可能迅速膨胀到数十 GB。查看 Docker 日志大小可以使用：

du -sh /var/lib/docker/containers/*/*-json.log

　　如果确实过大，可以清空：

truncate -s 0 /var/lib/docker/containers/*/*-json.log

　　并建议在 daemon.json 中限制日志大小：

{
  "log-driver": "json-file",
  "log-opts": {
    "max-size": "50m",
    "max-file": "3"
  }
}

　　这样可以避免未来继续无限增长。

　　在解决 /var/log 占用过高后，建立日志轮转机制极为重要。Linux 系统使用 logrotate 自动管理日志文件，使其按周期滚动、压缩与删除。你可以检查 logrotate 服务是否正常运行：

cat /etc/logrotate.conf
ls /etc/logrotate.d/

　　如果服务正常但未生效，很可能是权限或磁盘满导致轮转失败。修复磁盘问题并重新运行：

logrotate -f /etc/logrotate.conf

　　为了让日志轮转更加有效，你可以设置日志压缩、保留数量、大小限制等策略，例如：

/var/log/nginx/*.log {
    daily
    rotate 7
    compress
    missingok
    notifempty
    size 100M
    create 0640 nginx adm
}

　　通过合理的轮转规则，可以有效限制日志占用磁盘容量，并确保系统长期稳定。

　　总结整个处理逻辑，/var/log 占用过高的解决方法应包括：定位问题日志、清空或压缩文件、分析写入原因、修复系统级或应用级问题、确保 logrotate 机制正常、为 Docker 和 Web 服务设置日志限制、定期检查磁盘状态。这样才能真正从根本上避免磁盘被日志挤满引发的各种系统故障。

　　常见问答：

　　1. /var/log 占满会导致什么后果?

　　答：可能导致 SSH 无法登录、服务崩溃、MySQL 启动失败、系统报错，甚至导致整个服务器瘫痪。

　　2. 清理日志能直接删除文件吗?

　　答：不建议。应使用 truncate 清空内容，而不是删除文件，以免影响正在写入的服务。

　　3. 为什么 delete 日志后磁盘不释放?

　　答：因为进程仍然占用日志句柄，需要重启对应服务让系统真正释放空间。

　　4. 如何查看是谁写入大量日志?

　　答：使用 tail -f 查看实时日志，或通过 lsof 检查占用文件的进程。

　　5. Docker 日志无限增大的根本原因是什么?

　　答：json-file 日志驱动会记录容器所有输出，需要配置日志大小限制。

　　6. logrotate 失效怎么办?

　　答：检查磁盘是否已满、权限是否正确、配置是否有语法错误，必要时手动执行 logrotate 修复。

　　7. /var/log 可以定期自动清理吗?

　　答：可以，通过 logrotate 设定日志大小限制、压缩策略与保留周期，让系统自动管理。