Linux下恢复被误删除的syslog—/var/log/messages

原创文章，转载请注明作者：黄文海 来源：http://viscent.iteye.com，同步发布在：http://blog.viscenthuang.info

软件开发日常工作中，出于方便定位问题的需要，我们常常会去清空日志文件。但是，Linux新手容易犯的一个错误是把日志文件给直接删除，而不是删除日志文件的内容。直接删除日志文件往往导致新产生的日志记录无法被写入到日志文件中（因为它已经被删除了），而仅仅重新新建（touch）同样名字的文件是解决不了问题的。下面以Unbutu系统为例，说明如何恢复被误删除的syslog：

首先，在以root用户执行如下lsof命令，查询打开/var/log/messages文件的进程的进程ID(PID)。

root@viscent:/var/log# lsof | grep messages
rsyslogd 544 syslog 7w REG 8,1 214641 134422 /var/log/messages

从上面命令输出可以看到，这个打开/var/log/messages文件的进程的PID是544，文件/var/log/messages的文件描述符（FD）号是7。
根据上述的PID和FD，可以在/proc找到对应的文件：

root@viscent:/var/log#ls -al /proc/544/fd/7
l-wx------ 1 root root 64 2012-07-14 14:48 7 -> /var/log/messages

将文件/proc/544/fd/7拷贝到/var/log/messages

cp /proc/544/fd/7 /var/log/messages

然后重新启动syslog服务即可恢复被误删除的日志文件，并且新的日志记录能够继续被写入日志文件。
以root用户运行service命令。其中，service命令的第2个参数可能是syslog、也可能是rsyslog。
具体可以使用通过命令查询得知。

root@viscent:/proc/544/fd# service --status-all
[ ? ] ...
[ ? ] rc.local
[ ? ] rsyslog
[ ? ] screen-cleanup
[ ? ] ...

root@viscent:/proc/544/fd# service rsyslog restart
rsyslog start/running, process 2673

BTW，真正用来清空日志文件的命令应该是：

cat /dev/null>/var/log/messages