DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브 DevOps 도구 및 베스트 프랙티스 마스터 - DevOps 지식 허브

리눅스 시스템 문제 해결을 위한 고급 로그 분석

journalctl, dmesg, 인증 로그 및 감사 도구를 사용하여 서비스, 부팅 및 보안 이벤트 전반의 리눅스 장애를 추적합니다.

리눅스 시스템 문제 해결을 위한 고급 로그 분석

시스템 로그는 리눅스 서비스가 실패하거나, 부팅이 중단되거나, 서버의 메모리가 부족해지기 전에 발생한 일을 알려줍니다. 어려운 점은 노이즈를 빠르게 걸러내어 유용한 줄을 찾는 것입니다.

이 가이드는 기본적인 파일 검사(cat /var/log/messages)를 넘어 journalctl, dmesg 및 보안 감사 로그를 함께 사용하는 방법을 보여줍니다.

1. 통합 저널 마스터하기 (systemd-journald)

systemd를 사용하는 최신 리눅스 배포판은 systemd-journald를 통해 로깅을 중앙 집중화하여 구조화되고 인덱싱된 바이너리 형식으로 로그를 저장합니다. 이 데이터에 접근하는 기본 도구는 journalctl입니다.

1.1 시간 및 부팅별 필터링

고급 문제 해결에는 특정 시간대나 부팅 주기로 이벤트를 격리해야 하는 경우가 많습니다. -b(부팅) 및 -S/-U(이후/이전) 플래그가 필수적입니다.

명령어 목적 사용 예시
journalctl -b 현재 부팅에 대한 로그만 봅니다. 마지막 재시작 이후 발생한 문제 분석.
journalctl -b -1 이전 부팅에 대한 로그를 봅니다. 간헐적인 부팅 실패 진단.
journalctl -S "2 hours ago" 특정 시간 또는 기간부터 시작하는 로그를 봅니다. 서비스 충돌 직전의 활동 확인.
journalctl --since "YYYY-MM-DD HH:MM:SS" 정확한 타임스탬프부터 시작하는 로그를 봅니다. 시스템 로그와 외부 모니터링 데이터 상호 연관.

1.2 메타데이터별 필터링

저널의 구조화된 특성 덕분에 정확한 메타데이터 필드를 기준으로 필터링할 수 있어 관련 없는 데이터를 빠르게 걸러낼 수 있습니다.

# SSH 서비스에 대한 로그만 필터링
journalctl -u sshd.service

# 커널 로그 필터링 (우선순위 0-7)
journalctl -k

# 우선순위별 로그 필터링 (예: 심각한 오류 이상)
# 0=emerg, 1=alert, 2=crit, 3=err
journalctl -p 0..3 -S yesterday

# 특정 프로세스 ID(PID)별 로그 필터링
journalctl _PID=1234

팁: 영구 저널: 시스템이 재부팅 간에 로그를 유지하지 않는 경우, 저널 디렉토리를 생성하여 영구 로깅을 활성화하십시오: sudo mkdir -p /var/log/journal 및 올바른 권한 설정. 이는 부팅 관련 문제 진단에 중요합니다.

2. dmesg 및 journalctl을 사용한 커널 메시지 분석

커널 메시지는 낮은 수준의 하드웨어 문제, 드라이버 오류 및 운영 체제 패닉을 진단하는 데 중요합니다. dmesg는 커널 링 버퍼의 원시 스냅샷을 제공하는 반면, journalctl은 이러한 메시지를 타임스탬프 및 전체 컨텍스트와 통합합니다.

2.1 즉각적인 하드웨어 검사를 위한 dmesg 사용

dmesg는 빠르며 저널이 충분히 일찍 시작되지 않을 때 놓칠 수 있는 초기화 메시지를 반영합니다. 주로 하드웨어 초기화 오류를 찾는 데 유용합니다.

# 일반적인 오류 키워드에 대한 dmesg 출력 필터링 (대소문자 구분 안 함)
dmesg | grep -i 'fail\|error\|oops'

# 특정 하드웨어 관련 메시지 검토 (예: 디스크)
dmesg | grep sd

2.2 OOM Killer 식별

리소스 고갈, 특히 메모리 고갈은 커널이 OOM(Out-Of-Memory) Killer를 호출하게 합니다. 이 프로세스는 메모리를 확보하기 위해 선택적으로 애플리케이션을 종료합니다. 이 이벤트를 식별하는 것은 메모리 문제 해결에 중요합니다.

커널 로그에서 oom-killer 또는 killed process를 포함하는 메시지를 찾으십시오:

# 현재 부팅 저널에서 OOM 이벤트 검색
journalctl -b -k | grep -i 'oom-killer\|killed process'

관련 로그 항목은 어떤 프로세스가 종료되었는지, 해당 프로세스의 메모리 사용량 및 당시 시스템의 총 메모리 사용량을 자세히 설명합니다.

3. 애플리케이션 및 서비스 로그 심층 분석

특정 서비스가 실패하면 로그 분석은 종속성 및 관련 애플리케이션 오류를 추적하는 방향으로 전환되어야 합니다.

3.1 서비스 상태 및 로그 상호 연관

서비스 실패 문제 해결은 항상 상태를 확인하는 것으로 시작하십시오. 상태는 종종 종료 코드와 오류에 대한 힌트를 제공합니다.

# 웹 서버 서비스 상태 확인
systemctl status apache2.service

# 즉시 서비스 로그 확인
journalctl -u apache2.service --no-pager

0이 아닌 종료 코드, 세그멘테이션 오류 또는 리소스 제한 위반(예: 파일 디스크립터 제한)을 나타내는 메시지를 찾으십시오.

3.2 기존 로그 파일 검토

systemd가 대부분의 로그를 처리하지만, 일부 레거시 애플리케이션이나 서비스(특히 PostgreSQL 또는 MySQL과 같은 데이터베이스)는 여전히 /var/log에 방대한 로그를 직접 기록합니다.

일반적인 위치 및 용도:

  • /var/log/messages 또는 /var/log/syslog: 배포판에 따른 일반 시스템 활동.
  • /var/log/dmesg: 커널 링 버퍼의 정적 복사본(저장된 경우).
  • /var/log/httpd/error_log: Apache/Nginx 특정 애플리케이션 오류.
  • /var/log/faillog: 실패한 로그인 시도 기록.

강력한 텍스트 조작 도구인 grep, awktail을 사용하여 이러한 파일을 실시간 모니터링 및 필터링하십시오:

# 오류를 재현하는 동안 로그 파일을 실시간으로 감시
tail -f /var/log/application/database.log | grep -i 'fatal\|timeout'

4. 보안 및 감사 로그 분석

보안 로그는 인증 시도, 권한 오류 및 구성 변경에 대한 가시성을 제공하며, 이는 접근 제어 문제나 침해 시도를 진단하는 데 중요합니다.

4.1 인증 로그 (auth.log/secure)

Debian/Ubuntu에서 이러한 로그는 /var/log/auth.log에 있으며, RHEL/CentOS에서는 일반적으로 /var/log/secure에서 찾을 수 있습니다(또는 저널을 통해 쿼리 가능).

반복되는 연결 실패 또는 무단 시도를 찾으십시오. 이는 종종 다음과 같이 표시됩니다:

# 실패한 SSH 로그인 시도 확인
grep 'Failed password' /var/log/secure

# 무단 권한 상승을 위한 sudo 사용 분석
grep 'COMMAND=' /var/log/auth.log

4.2 리눅스 감사 시스템 (Auditd)

파일 접근, 시스템 호출 및 구성 변경에 대한 포괄적인 추적이 필요한 환경에서는 리눅스 감사 시스템(auditd)이 필수적입니다. 분석은 일반적으로 ausearch 도구를 사용하여 수행됩니다.

# 파일 접근 거부와 관련된 이벤트 검색
ausearch -m AVC,USER_AVC,DENIED -ts yesterday

# 특정 사용자(UID 1000)가 실행한 모든 시스템 호출 검색
ausearch -ua 1000

5. 실용적인 문제 해결 시나리오

효과적인 로그 분석은 관찰된 증상을 기반으로 어디를 봐야 하는지 아는 것을 포함합니다.

시나리오 1: 부팅 중 파일시스템 마운트 실패

시스템이 비상 모드로 부팅되는 경우, 문제는 거의 항상 초기 부팅 메시지에서 추적됩니다.

  1. 조치: 시스템을 재시작합니다.
  2. 분석 도구: journalctl -b -k (실패한 부팅에 대한 커널 로그에 초점).
  3. 키워드: ext4 error, superblock, mount error, dependency failed.
  4. 근본 원인 단서: /dev/sdb1에 대한 명시적 오류 코드 또는 /etc/fstab에서 누락된 UUID를 언급하는 줄.

시나리오 2: 간헐적인 높은 부하 및 서비스 속도 저하

성능이 간헐적으로 저하되는 경우, 원인은 리소스 경합 또는 메모리 누수일 수 있습니다.

  1. 조치: 속도 저하가 발생한 시간을 확인합니다.
  2. 분석 도구: journalctl --since "10 minutes before event" -p warning..crit.
  3. 키워드: oom-killer, cgroup limit, CPU limit reached, deadlock.
  4. 근본 원인 단서: OOM killer가 발견되지 않으면, 개별 고리소스 서비스별로 로그를 필터링하여 반복되는 내부 오류(예: 데이터베이스 연결 시간 초과 또는 과도한 로깅)를 확인합니다.

핵심 요약: 반복 가능한 로그 워크플로우 구축

고급 로그 분석은 매번 동일한 경로를 따를 때 가장 효과적입니다:

  1. 필터링 표준화: journalctl 명령어를 학습하고 표준화하여 부팅, 서비스 및 시간 범위를 빠르게 격리합니다.
  2. 로깅 중앙 집중화: 복잡한 환경의 경우 중앙 집중식 로깅 솔루션(예: ELK Stack, Splunk, Graylog)을 구현합니다. 이를 통해 여러 서버 간의 로그를 상호 연관시킬 수 있으며, 이는 분산 애플리케이션 문제 해결에 중요합니다.
  3. 우선순위 이해: 심각도 수준(emerg, alert, crit, err, warning, notice, info, debug)을 알고 비상 상황에서 일상적인 info 메시지를 무시하기 위해 -p 플래그를 활용합니다.
  4. 동기화 유지: NTP를 통해 모든 시스템 시계가 동기화되도록 합니다. 동기화되지 않은 시계는 시스템 간 로그 상호 연관을 거의 불가능하게 만듭니다.