journalctl 완벽 가이드: 리눅스 시스템 로그 이해하기
리눅스 systemd 저널 로그를 보고, 필터링하고, 실시간으로 모니터링하고, 정리하는 journalctl 명령어를 배웁니다.
journalctl 완벽 가이드: 리눅스 시스템 로그 이해하기
journalctl 유틸리티는 systemd-journald가 수집한 로그를 보기 위한 주요 명령어입니다. 서비스가 실패하거나, 부팅이 멈추거나, 커널 메시지가 너무 빨리 지나갈 때, 보통 journalctl에서 세부 정보를 찾을 수 있습니다.
/var/log에 있는 일반 텍스트 로그 파일과 달리, 저널은 유닛 이름, 우선순위, 부팅 ID, 타임스탬프와 같은 메타데이터가 포함된 구조화된 항목을 저장합니다. 이를 통해 여러 파일을 열고 추측할 필요 없이 정확하게 로그를 필터링할 수 있습니다.
Systemd 저널 이해하기
명령어를 살펴보기 전에 journalctl이 관리하는 대상을 이해하는 것이 도움이 됩니다. systemd 저널은 커널, 서비스(유닛), 애플리케이션, 그리고 시스템 시작 프로세스의 로그를 수집합니다. 이러한 로그는 일반적으로 구조화된 바이너리 파일에 저장되어 기존의 플랫 파일보다 검색 및 필터링 속도가 훨씬 빠릅니다.
핵심 개념:
- 지속성: 로그는 재부팅 후에도 영구적으로 저장되도록(영구 모드) 구성하거나 메모리에만 유지(휘발성 모드)하도록 구성할 수 있습니다.
- 구조화된 데이터: 로그에는
journalctl이 필터링에 활용하는 메타데이터(유닛 이름, 우선순위, 부팅 ID 등)가 포함됩니다.
필수 보기 명령어
가장 일반적인 요구는 단순히 로그를 보는 것입니다. 시스템 기록을 탐색하기 위한 기본 명령어는 다음과 같습니다.
1. 모든 로그 보기
시스템이 로그 기록을 시작한 이후 저널이 수집한 모든 항목을 보려면 인수 없이 명령어를 사용하십시오:
journalctl
기본적으로 이 출력은 less와 같은 도구를 사용하여 페이지 매김되며, 화살표 키나 스페이스바를 사용하여 위아래로 탐색할 수 있습니다.
2. 실시간 로그 보기 (Follow)
tail -f를 사용하는 것과 유사하게, 저널에 기록되는 로그를 실시간으로 모니터링할 수 있습니다. 특정 서비스를 시작하거나 디버깅할 때 매우 유용합니다:
journalctl -f
실시간 보기를 종료하려면 Ctrl+C를 누르십시오.
3. 출력 줄 수 제한
가장 최근 항목만 필요한 경우 -n 플래그를 사용하여 줄 수를 지정하십시오:
# 마지막 20개의 로그 항목 표시
journalctl -n 20
4. 특정 시간 이후 로그 보기
시간별 필터링은 journalctl의 가장 강력한 기능 중 하나입니다. 상대적 또는 절대적 타임스탬프를 사용할 수 있습니다.
상대적 시간 예시:
| 명령어 | 설명 |
|---|---|
journalctl --since "1 hour ago" |
지난 1시간 동안의 로그. |
journalctl --since "yesterday" |
이전 달력일 시작부터의 로그. |
journalctl --since "2023-10-26 14:30:00" |
특정 날짜와 시간 이후의 로그. |
팁: --since와 --until을 결합하여 정확한 범위를 지정할 수 있습니다. 예: journalctl --since "2023-10-26" --until "2023-10-27 00:00:00".
유닛, 서비스 또는 프로세스별 로그 필터링
journalctl의 가장 중요한 용도 중 하나는 특정 systemd 유닛(서비스)과 관련된 메시지를 분리하는 것입니다.
서비스 이름으로 필터링
-u(또는 --unit) 플래그 뒤에 서비스 이름(예: sshd.service, nginx.service)을 사용하십시오:
# Apache 웹 서버 서비스에 대한 로그만 보기
journalctl -u apache2.service
# Docker 서비스 로그 실시간 보기
journalctl -u docker.service -f
부팅 ID로 필터링
Systemd는 여러 시스템 부팅에 걸쳐 로그를 추적합니다. 이전 시작의 로그를 보려면 먼저 사용 가능한 부팅을 나열하십시오:
journalctl --list-boots
이 명령은 인덱스 목록(예: 현재 부팅의 경우 -1, -2, 0)을 출력합니다. 그런 다음 인덱스 또는 전체 부팅 ID를 사용할 수 있습니다:
# 직전 부팅의 로그 표시
journalctl -b -1
# 특정 부팅 ID의 로그 표시 (위에 나열된 긴 ID 사용)
journalctl -b a1b2c3d4e5f6...
커널 메시지로 필터링
커널에서 발생한 메시지만 보려면(dmesg 사용과 유사):
journalctl -k
# 또는 동일하게:
journalctl -b -k
고급 필터링 및 출력 제어
효과적인 문제 해결을 위해서는 종종 필터를 결합하고 출력 형식을 제어해야 합니다.
1. 우선순위 수준별 필터링
로그에는 0(emerg)부터 7(debug)까지의 우선순위 수준이 할당됩니다. -p 또는 --priority 플래그를 사용하여 선택한 심각도 및 그보다 더 심각한 수준의 메시지를 볼 수 있습니다:
| 우선순위 수준 | 숫자 값 |
|---|---|
err 또는 error |
3 |
warning |
4 |
notice |
5 |
info |
6 |
# SSH 서비스의 모든 오류, 치명적, 응급 메시지 표시
journalctl -u sshd.service -p err
2. 특정 텍스트 검색
표준 필터링으로 충분하지 않은 경우 출력을 grep으로 파이프하거나 지원되는 journalctl 버전에서 --grep을 사용할 수 있습니다:
# 모든 로그에서 'failed' 단어가 포함된 줄 검색
journalctl | grep failed
# 또는 --grep 옵션을 사용하여 간단히 필터링 (가능한 경우/선호하는 경우)
journalctl --grep=failed
3. 출력 형식 변경
스크립팅이나 다른 도구로 로그를 이동하려면 출력 형식을 변경하는 것이 필수적입니다. 기본값은 pretty(사람이 읽기 쉬운 형식)입니다.
--output=json: 항목을 구조화된 JSON 객체로 출력합니다.--output=short: pretty와 유사하지만 덜 화려합니다.--output=export: 보관을 위해 원시 저널 항목을 출력합니다.
# 최근 로그를 JSON으로 출력
journalctl -n 5 --output=json
4. 필터 결합
필터는 곱집합 방식으로 결합됩니다. 지난 10분 동안 Nginx에서 기록된 모든 오류를 보려면:
journalctl -u nginx.service --since "10 minutes ago" -p err
저널 크기 및 지속성 관리
시간이 지남에 따라, 특히 영구 로깅으로 구성된 경우 저널이 상당한 디스크 공간을 소비할 수 있습니다. 시스템 관리자는 그 크기를 관리해야 합니다.
현재 사용량 확인
현재 저널 파일이 차지하는 디스크 공간을 확인하려면:
journalctl --disk-usage
오래된 로그 정리
시간 또는 전체 크기를 기준으로 로그를 지울 수 있습니다.
시간별 정리:
# 지난 7일 동안의 로그만 유지
journalctl --vacuum-time=7d
크기별 정리:
# 전체 로그 크기를 최대 500MB로 줄임
journalctl --vacuum-size=500M
경고: 특히 이전 부팅(
-b)의 로그를 삭제할 때는 주의하십시오. 중요한 진단 정보가 조기에 제거되지 않도록 하십시오.
핵심 요약
일상적인 문제 해결을 위해 journalctl -u <서비스> -n 50 --no-pager로 시작하고, 실시간 출력이 필요하면 -f를 추가하고, 문제가 시간 창이나 부팅과 관련된 경우 --since 또는 -b를 사용하십시오. 로그를 삭제하기 전에 journalctl --disk-usage를 확인하고 롤백 및 사고 검토를 위해 충분한 기록을 유지하십시오.