服务器日常运维过程中，Nginx日志文件过大往往是系统性能下降、磁盘空间报警甚至服务中断的根源之一。由于Nginx默认记录访问日志和错误日志，在高并发、高访问量的网站中，这些日志文件可能在短时间内迅速膨胀至数GB甚至几十GB。

面对这种情况，很多运维人员的第一反应是“清空日志文件”，但这样粗暴的做法往往导致丢失关键排错数据、影响合规审计。如何科学地清理Nginx日志文件，并有效保留必要信息，成为高质量网站运维的必备技能。

一、Nginx日志文件为什么会变大?

要想控制日志文件体积，首先要理解它为什么会无限膨胀。

1. 高访问量造成频繁记录。每一次客户端的HTTP请求，无论成功、失败、404、403，都会被记录到access.log中。特别是爬虫访问、攻击扫描等异常流量，更是日志膨胀的加速器。

2. 错误日志冗余。Nginx的error.log会记录所有错误信息，包括PHP-FPM超时、静态文件找不到、后端连接失败等，一旦服务配置异常，日志量成倍增长。

3. 长时间未清理。大多数Nginx安装后并未启用日志轮转，导致access.log和error.log文件连续累积数月。

4. 缺乏日志过滤和定向策略。Nginx默认配置没有区分静态资源访问、API调用、异常请求，也没有按日期或流量来源分文件，导致一个access.log包含过多无效数据。

二、查看和评估Nginx日志文件状况

在操作前应先了解日志占用情况。

1. 查看Nginx日志路径

默认路径为：

/var/log/nginx/access.log
/var/log/nginx/error.log

也可能是：

/usr/local/nginx/logs/

通过 nginx.conf 或各站点的 .conf 文件可确认：

grep log /etc/nginx/nginx.conf

2. 查看文件大小

du -sh /var/log/nginx/*

3. 快速分析日志内容密集度

wc -l /var/log/nginx/access.log

tail -n 1000 access.log | awk '{print $9}' | sort | uniq -c

这个命令可以粗略看出最近1000条请求中，哪些状态码最频繁，比如大量的404可能表明爬虫扫描。

三、清理Nginx日志文件的常规方式

方法一：手动清空日志内容但不删除文件

> /var/log/nginx/access.log
> /var/log/nginx/error.log

这个命令会保留日志文件结构，仅清空内容，适合临时减压磁盘，但不能长期使用。

方法二：重命名 + 平滑重启Nginx

mv access.log access.log.bak.$(date +%F)
nginx -s reopen

或：

kill -USR1 `cat /var/run/nginx.pid`

这个方法比直接清空更安全，因为不会打断Nginx服务，会新建一个access.log继续写入。

方法三：配合logrotate周期清理

使用系统自带的 logrotate 工具对Nginx日志文件进行定期清理，是最推荐的方式。

四、配置logrotate自动清理Nginx日志

1. 创建Nginx专用轮转配置

编辑 /etc/logrotate.d/nginx 文件：

/var/log/nginx/*.log {
    daily
    missingok
    rotate 14
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        [ -f /run/nginx.pid ] && kill -USR1 `cat /run/nginx.pid`
    endscript
}

参数说明：

daily：每天轮转;

rotate 14：保留14个历史日志;

compress：启用gzip压缩节省空间;

notifempty：空文件不轮转;

postrotate：轮转后通知Nginx重新生成日志文件。

2. 手动测试轮转

logrotate -f /etc/logrotate.d/nginx

执行后应看到 .1 .gz 等历史日志文件生成。

五、提取必要日志信息再清理

有时我们不想清空全部日志，而是想保留核心部分供分析，比如：

• 只保留状态码为500的记录;
• 只记录某个IP或路径;
• 只保留最近一小时日志。

示例：提取错误请求

grep " 500 " access.log > /var/log/nginx/important-500.log

示例：提取指定时间段日志

awk '$4 ~ /\[20\/May\/2025:14:/' access.log > /var/log/nginx/hour14.log

示例：提取爬虫请求

grep -i 'bot' access.log > /var/log/nginx/bots.log

提取后，再执行日志压缩或清空操作即可。

六、优化Nginx日志策略，从源头减压

与其被动清理，不如主动减少日志冗余，降低生成频率。

1. 为静态资源单独定义日志规则

location ~* \.(jpg|png|css|js)$ {
    access_log off;
}

2. 设置特定路径日志级别

access_log /var/log/nginx/api.log combined if=$loggable;

结合 map 指令按需记录：

map $status $loggable {
    default 1;
    ~^2 0;
}

这样只记录非2xx状态的请求。

3. 使用JSON格式输出日志便于处理

结合ELK、Graylog等工具时，使用结构化日志格式更利于索引和审计。

七、清理后监控磁盘使用情况

执行日志清理后，建议及时检查磁盘释放情况：

df -h

如果发现释放不及时，有可能Nginx进程仍占用旧日志，可通过如下命令确认：

lsof | grep deleted | grep nginx

重启Nginx服务即可释放空间：

systemctl restart nginx

Nginx日志过大问题不容忽视，尤其在SSD硬盘空间有限、服务稳定性要求高的环境中。通过清理、归档、压缩、提取以及根本性的优化策略，不仅可以有效释放磁盘空间，还能提升整体日志分析效率，为系统运维和安全监控提供更强保障。