按月删除日志服务日志

前提条件

1. 权限要求

   • 需要具备日志服务的管理权限（如阿里云SLS的Log管理权限，或AWS CloudWatch的logs:DeleteLogGroup权限）。
   • 若通过脚本或API操作,需配置访问密钥（AK/SK）或角色权限。

2. 日志存储周期

   确认日志服务是否已开启“日志保存周期”功能（如阿里云SLS的“日志存储期限”），若已设置需先关闭或调整。

操作步骤（以常见云服务为例）

阿里云日志服务（SLS）

AWS CloudWatch Logs

aws logs delete-log-group –log-group-name

# 3. 自建ELK/EFK日志系统
| 步骤 | 操作说明 |
|------|----------|
| 1    | 使用Elasticsearch的`Index Lifecycle Management (ILM)`政策，设置索引的保留周期为1个月。 |
| 2    | 配置示例（通过Kibana Dev Tools）：<br>```json
PUT _ilm/policy/monthly-policy
{
  "policy": {
    "phases": {
      "hot": { "actions": { "rollover": {} } },
      "delete": {
        "min_age": "30d",
        "actions": { "delete": {} }
      }
    }
  }
}
``` |
| 3    | 将政策关联到索引模板或特定索引。 |
---
 三、自动化脚本方案（通用）
# 1. Python脚本（适用于API支持的日志服务）
```python
import boto3
from datetime import datetime, timedelta
# AWS CloudWatch 示例
client = boto3.client('logs')
one_month_ago = datetime.now() timedelta(days=30)
response = client.filter_log_events(
    logGroupName='your-log-group',
    startTime=(one_month_ago).timestamp(),
    endTime=int(datetime.now().timestamp())
)
# 获取所有符合条件的日志ID并删除
log_ids = [event['eventId'] for event in response['events']]
if log_ids:
    client.put_retention_policy(
        logGroupName='your-log-group',
        retentionInDays=30  # 设置保留天数为30天
    )

定时任务配置

注意事项

1. 数据备份

   删除前确认日志已备份（如OSS/S3存储），避免误删导致数据丢失。

2. 合规性检查

   部分行业（如金融、医疗）对日志留存有法定要求，需确保删除操作符合规范。

3. 监控告警

   配置告警,监控删除任务执行情况（如失败需及时处理）。

相关问题与解答

问题1：如何恢复误删的日志？

解答：

• 阿里云SLS：删除后无法恢复，需依赖备份或联系客服尝试紧急恢复。
• AWS CloudWatch：若未启用“日志组删除保护”，可通过PutRetentionPolicy重置保留策略，但已删除数据不可恢复。
• 自建系统：若日志文件未彻底清除（如仅删除索引），可通过备份或回收站恢复。

问题2：如何调整日志保留周期为按周删除？

解答：

• 修改策略：
  • 阿里云SLS/AWS：将保留天数从30天改为7天。
  • Elasticsearch ILM：将min_age改为7d。
• 脚本调整：将时间范围计算逻辑从30天改为7天，并更新定时任务频率（如每周触发）。